从“旁注入侵”对服务器安全进行的思考

xulongli

《网络安全进阶笔记》第2章构建个性化的进阶平台。本章适用于日常系统的安全配置。通过构建虚拟安全测试平台，配置ASP、PHP、JSP安全测试环境，确保虚拟主机安全。本节为大家介绍一个"注入"引发的服务器安全思考。

　　2.3 成功进阶必备的测试环境
　　目前，最常用的三种动态网页语言有ASP(Active Server Pages)、JSP(Java Server Pages)、PHP (Hypertext Preprocessor)。关于ASP、PHP、JSP的调试，很多用户可能见得多了。在漫天飞舞的网络安全问题中，它们占据着半壁江山。下面，我们分别以典型的ASP、PHP、JSP等虚拟主机平台为例进行分析。
　　2.3.1 一个"注入"引发的服务器安全思考
　　许多个人网站站长或小型企业网站都采用了虚拟主机的方式。虚拟主机技术可以把一台网站服务器划分为若干个"虚拟"的主机，每个虚拟主机都有一个独立的网站，可以具有独立的域名和完整的Internet服务器功能。对于网站访问者来说，每一台虚拟主机和一台独立的主机(采用服务器托管、专线上网等方式建立的服务器)完全一样。用虚拟主机建设网站，具有费用低、管理简单、网站建设效率高的特点。不过，随着虚拟主机数量的增加，安全问题也日益严重。从近几年的病毒传播来看，很多网站开通不久就遭遇了频繁的攻击，或者干脆沦为黑客的"替罪羊"。下面综合多个典型案例，结合最新的服务器安全防范技术、病毒防范技术和编程技术，使用户掌握安全使用虚拟主机和快速建设网站的同时，全面提高系统安全的防护能力。
　　旁注入侵，顾名思义，就是"从旁注入"，它的主要方法是利用同一电脑上不同网站的漏洞进行入侵，达到"一损俱损，一荣俱荣"的效果。对于一个有着多个网站的虚拟主机来说，旁注的杀伤力是很大的。下面，结合最新的旁注工具"旁注入侵专用程序"和其他典型工具进行讲解。"旁注入侵专用程序"的下载地址是http://www.hackdiy.com/。
　　就像打仗之前要侦察敌情一样，要针对某一个网站入侵，就必须了解这个网站虚拟空间的总体结构。也许，很多网站本身并不存在什么程序漏洞，但是，如果和它同在一个虚拟主机中的其他网站存在漏洞，也会导致入侵者通过whois查询等方式对目标网站进行攻击。
　　小知识：whois查询技术。平时使用的DNS域名需要统一向总部位于美国的国际域名组织进行注册，为了方便管理，国际域名组织将域名的信息放到了whois查询系统中，这样，我们只要使用whois就能查出某域名解析的IP了。得到解析的IP后，通过whois在域名的记录里就能找到所有解析到这个IP的域名信息。或者直接到网站查询IP，地址为http://whois.webhosting.info。
　　就像准备探测敌情的侦察兵一样，在完成对一个项目的实地考察之后，就可以开始测试了。
　　1. 锁定目标：通过检测寻找漏洞
　　(1)打开软件，在"旁注检测"选项卡中，单击"网站批量检测"按钮，将会载入所有检测到的网站地址。如果要测试目前比较热门的上传漏洞等缺陷，可以选择一些可能存在的地址，如upfile.asp、saveup.asp等。在右边，我们可以选择"上传"、"数据库"、"后台"三个项目之一，然后进行检测。
　　(2)以默认的"上传"为例，单击"开始检测"按钮，就可以得到结果。如图2.23所示。

　　(点击查看大图)图2.23 使用"旁注入侵专用程序"进行检测
　　(3)看看网站有没有论坛漏洞。检测中，从网站首页就可以看出这个网站有没有论坛。这时，选择一个可能存在上传漏洞的页面，在弹出的菜单中选择"上传木马"，就可以进入到上传界面了。探测实例中，列举了存在漏洞的类型。
　　2. SQL注入：虚拟主机的安全隐患
　　(1)批量对多个网站进行注入点扫描。在上面的实例中，单击"SQL注入"标签，再单击"载入查询网址"，就可以载入这台虚拟主机上的网站对象。
　　小知识：什么是SQL注入漏洞。SQL注入越来越多地被利用来入侵网站，给目前的网络安全造成了很大的威胁。由于部分Web程序员对入侵的方法一知半解，导致在过滤的时候漏掉某些字符，造成安全漏洞;或者是草木皆兵，把一些合法的用户请求都拒之门外。下面，我们看这三句最简单SQL语句：
　　SQL="Select * from Users where UserID=" & Request("ID") SQL="Select * from Users where UserID='" & Request("ID") & "'" SQL="Select * from Users where UserName like '%" & Request("Name") & "%'"
　　区分数字型和字符型参数，只要看SQL语句参数两边有没有单引号即可，很明显，第一句无单引号，是数字型;第二第三句有单引号，是字符型。对于数字型变量，传入的参数都会直接附加到SQL语句上执行。所以字符型变量只要过滤了一些特殊的符号就安全了。这样，既可以保持用户输入的原貌，又可以保证程序的安全。
　　然后，单击"批量分析注入点"按钮，很快就可以得到如图2.24所示的注入地址了。

　　(2)现在，在下面检测到的红色注入地址中，随便选中一个网站注入点，选中后单击右键，在弹出的菜单中选择"检测注入"命令，进入"SQL注入猜解检测"界面，如图2.25所示。

　　(3)在这里，经过"猜解表名"、"猜解列名"、"猜解内容"后，就可以得到网站的管理员和密码了。找到管理地址后，就可以轻而易举地进行攻击了。至此，一个完整的攻击实例就结束了。
　　3. 针对注入攻击的安全配置
　　下面，针对旁注攻击的各种入侵手法，来对服务器进行全面的安全设置。
　　(1)针对服务器组件的限制。那么，用户在实际测试中应该怎样来防范ASP后门木马程序呢？其实，对于ASP后门木马的防范，我们只要在注册表中把"shell.application"、"WSCRIPT.SHELL"等危险的脚本对象进行改名或删除，也就是限制系统对"脚本SHELL"的创建，ASP木马也就成为无本之木、无米之炊，运行不起来了。另外，还可以调用cmd.exe，禁用Guests组用户调用。通过这些设置基本可以防范目前比较流行的几种木马，但最有效的办法还是通过综合安全设置，将服务器、程序安全都达到一定标准，才可能将安全等级设置较高，防范更多非法入侵。按照上述方法对ASP类危险组件进行处理后，可以用一些站点探针测试一下，或者再用"海阳顶端木马"测试，看运行是否正常。
　　(2)针对用户目录的限制。目前有很多的脚本都有可能导致安全隐患，因此在设定IIS中网站的目录权限时，要严格限制执行、写入等权限。比如，只要是服务器中的一个虚拟空间的用户，攻击者就可以把木马传上去，如果目录权限设置不严格，这个用户只要输入相应的目录，木马程序就可以完成文件的COPY、MOVE和执行程序了。根据实践来看，中国很多的虚拟空间服务商，特别是一些小型的服务商在安全管理上还有很多问题，也就造成了旁注泛滥的状况。
　　通过这个注入引发的攻击案例，可以带给我们很多的思考。试想，如果攻击者将一些恶意的病毒或木马放到这些网站，不知道其中问题的用户很容易上当，致使电脑系统感染病毒。了解这些原理，对于安全使用电脑也有很大的作用。只要服务器中稍微存在一些配置疏忽，就可能导致网站被旁注入侵并被夺取权限。
　　不过，在虚拟主机安全防范过程中，环境配置并不能够保证主机的绝对安全。因为，不严格的程序漏洞也会给虚拟主机安全带来颠覆性的灾难。当一个网站完全建立以后，程序就会很多，特别是服务器与用户的交互程序会很多。如果程序员没有足够的经验或者没有强烈的安全意识，程序的漏洞就会很多，给网站带来不可估量的安全隐患。