网站的上传漏洞是由于网页代码中的文件上传路径变量过滤不严造成的。目前有不少网站都存在上传漏洞的隐患,也成很多黑客进行挂马的主要利用漏洞,故做好网站上传漏洞的检测和防范是十分重要的。
针对网站的上传漏洞主要采取一些扫描工具进行检测的,常见有IBM的漏洞检测软件,HP的Web漏洞扫描软件和亿思网站安全检测平台。由于亿思平台使用比较简单,在这以它为例子,亿思平台是个在线平台,直接登录:http://www.iiscan.com注册就可以使用。在扫描策略选择“文件上传漏洞”的选项就可以针对网站的上传漏洞检测。目前常见的上传漏洞主要有以下几种:
一、能直接上传asp文件的漏洞
如果网站有上传页面,就要警惕直接上传asp文件漏洞。例如去年流行的动网5.0/6.0论坛,就有个 upfile.asp上传页面,该页面对上传文件扩展名过滤不严,导致黑客能直接上传asp文件,因此黑客只要打开upfile.asp页,直接上传,asp木马即可拿到webshell、拥有网站的管理员控制权。
除此之外,目前已发现的上传漏洞,还有动感购物商城、动力上传漏洞、乔客上传漏洞等,针对这类漏洞,只需利用一些黑客软件就可以填写上传页面网址和Cookies,并成功入侵网站。
【防范方法】:建议网站采用最新版程序建站,及时更新程序提供的更新补丁,因为最新版程序一般都没有直接上传漏洞,当然删除有漏洞的上传页面,将会最安全,这样黑客再也不可能利用上传漏洞入侵了!
如果不能删除上传页面,为了防范入侵,建议在上传程序中添加安全代码,禁止上传asp\asa\js\exe\com等类文件,这需要管理者能看懂asp程序。
二、00上传漏洞
目前网上流行的所有无组件上传类都存在此类漏洞——即黑客利用黑客工具伪造IP包,突破服务器端对上传文件名、路径的判断,巧妙上传ASP、ASA、CGI、CDX、CER、ASPX类型的木马。
例如黑客上传了一个木马文件(xiaomm.asp空格.jpg),由于上传程序不能正确判断含有十六进制00的文件名或 路径,于是就出现了漏洞,当上传程序接收到“xiaomm.asp空格.jpg”文件名数据时,一旦发现xiaomm.asp后面还有空格(十六进制的 00),它就不会再读下去,于是上传的文件在服务器上就会被保存成xiaomm.asp,因此上传木马就成功了!
【防范方法】:最安全的防范办法就是删除上传页面。
三、图片木马上传漏洞
有的网站,其后台管理中可以恢复/备份数据库,这会被黑客用来进行图片木马入侵。
图片木马入侵过程如下:首先将本地木马(例如F:\labxw\xiaomm.asp)扩展名改为.gif,然后打开上传 页面,上传这个木马(例如F:\labxw\xiaomm.gif);再通过注入法拿到后台管理员的账号密码,溜进网站后台管理中,使用备份数据库功能 将.gif木马备份成.asp木马(例如xiaomm.asp),即在“备份数据库路径(相对)”输入刚才图片上传后得到的路径,在“目标数据库路径”输 入:xiaomm.asp,提示恢复数据库成功;现在打开IE,输入刚才恢复数据库的asp路径,木马就能运行了。
【防范方法】:删除后台管理中的恢复/备份数据库功能。
四、添加上传类型漏洞
如今大多数论坛后台中都允许添加上传类型,这也是个不小的漏洞!只要黑客用注入法拿到后台管理员账号密码,然后进入后台添加上传类型,在上传页面中就能直接上传木马!
例如bbsxp后台中允许添加asa|asP类型,通过添加操作后,就可以上传这两类文件了;ewebeditor后台也 能添加asa类型,添加完毕即可直接上传asa后缀的木马;而LeadBbs3.14后台也允许在上传类型中增加asp类型,不过添加时asp后面必须有 个空格,然后在前台即可上传ASP木马(在木马文件扩展名.asp后面也要加个空格)。
【防范方法】:删除后台管理中的添加上传类型功能。
以上就是网站的上传漏洞的几个常见到漏洞,如果有检测到网站存在这些漏洞,要及时将其修复,防止网站受到被挂马等这些危害。
本页登记于:网赚联盟与网站建设指南 http://en.vvery.com,复制麻烦保留此行.