Wenn ASP auf der globalen Website mit seinen flexiblen, einfachen, praktischen und leistungsstarken Funktionen schnell beliebt wurde, bedrohen einige seiner eigenen Mängel und Schwachstellen alle Website -Entwickler. Wir werden eine detaillierte Diskussion über die neuesten Schwachstellen für ASP- und IIS -Sicherheit in dieser Ausgabe führen.
Anfang dieses Monats wurde Microsoft erneut vorgeworfen, der Sicherheit seiner Webserver -Software nicht mehr Aufmerksamkeit geschenkt zu haben. Ein Fehler namens Illegal HTR -Anfrage wurde in Microsofts beliebtem Produkt IIS Sever 4.0 gefunden. Laut Microsoft wird dieser Fehler in bestimmten Situationen auf der Serverseite auf der Serverseite ausgeführt. Aber in den Worten von Firas Bushnaq, CEO des Internet -Sicherheitsunternehmens Eeye, das die Verwundbarkeit entdeckte, ist es nur die Spitze des Eisbergs. Laut Bushnaq habe Microsoft einige Situationen versteckt, z. B. Hacker, die diese Anfälligkeit verwenden können, um den IIS-Server vollständig zu steuern, und viele E-Commerce-Websites basieren auf diesem System.
Die Details zu diesem IIS -Systemanfälligkeit sind unten aufgeführt:
Die neueste Sicherheitsanfälligkeit von IIS
Betroffene Systeme:
Internet Informationserver4.0 (IIS4)
Microsoft Windows NT 4.0 SP3 Option Pack 4
Microsoft Windows NT 4.0 SP4 Optionspaket 4
Microsoft Windows NT 4.0 SP5 Optionspaket 4
Veröffentlichungsdatum: 6.8.1999
Microsoft hat die Verwundbarkeit bestätigt, aber noch keine Patches sind verfügbar.
Microsoft Security-Ankündigung (MS99-019):
Thema: Abnormale HTR -Anfragemanützigkeit
Veröffentlichungszeit: 6.15.1999
Zusammenfassung:
Microsoft hat eine ernsthafte Systemversicherlichkeit in seinem veröffentlichten Webserver -Produkt, Internet Information Server 4.0, bestätigt, was zu einer Ablehnung des Serviceangriffs auf IIS -Servern führt. In diesem Fall kann es zu einem auf dem Server ausgeführten Binärcode führen. Patches für die Verwundbarkeit werden in naher Zukunft veröffentlicht. Bitte beachten Sie allen IIS -Benutzern genau.
Sicherheitsanfälligkeit Einführung:
IIS unterstützt eine Vielzahl von Dateitypen, die die serverseitige Verarbeitung erfordern, z. B. ASP, ASA, IDC und HTR. In ISM.Dll, einer Datei, die für die Verarbeitung von HTR -Dateien verantwortlich ist, gab es jedoch schwerwiegende Sicherheitslücken. (Hinweis: Die HTR -Datei selbst wird verwendet, um Benutzerkennwörter aus der Ferne zu verwalten.)
Die Sicherheitsanfälligkeit enthält einen unbestätigten Puffer in ISM.Dll, der den Sicherheitsbetrieb von Webservern zwei Bedrohungen darstellen kann. Erstens besteht eine Bedrohung durch einen Dienstverweigerungsangriff. Aber der IIS -Webserver muss neu gestartet werden. Eine weitere Bedrohung ist noch mehr Kopfschmerzinformation, indem eine gut gebaute Dateianforderung verwendet wird, um den Standard-Cache-Überlauf zu nutzen, um den Bin-Code auf der Serverseite auszuführen. In diesem Fall kann alles passieren! Die Sicherheitsanfälligkeit enthält keine .htr -Dateien, die Funktionen zum Verwalten von Benutzerkennwörtern bieten.
Prinzipanalyse:
Es gibt einen Überlauf in mindestens einer IIS -Erweiterung (zum Beispiel: ASP, IDC, HTR). Wir spekulieren, dass ein Überlauf auftritt, wenn IIS die vollständige URL an die DLL übergibt, um die Erweiterung zu verarbeiten. Wenn die ISAPI -DLL nicht über den korrekten Schecklimitbereich verfügt und ein Überlauf von inetinfo.exe verursacht, führt der Benutzer den Binärcode aus dem Remote -Ende aus. Angriffsmethode: Senden Sie die folgende HTTP -Anfrage an IIS: GET/[Überlauf] .HTR HTTP/1.0, IIS stürzt ab. Der [Überlauf] hier kann ein 3K langer Code sein.
Möglicherweise sind Sie mit .htr -Dateien sehr vertraut. Und diese Funktion wird durch eine Reihe von .htr -Dateien und eine Erweiterung von ISAPI: ism.dll implementiert. Wenn eine vollständige URL an ISM.Dll übergeben wird, gibt es keine Überprüfung für entsprechende Größengrenzen. Überlauf erfolgt, wodurch der Server abstürzt. HTR/ISM.DLL ISAPI ist die Standardinstallation von IIS4.
Lösung:
Da Microsoft keine zur Verwendung verfügbaren Patches veröffentlicht hat, können wir nur eine Notfallprävention durchführen.
1. Löschen Sie die .HTR -Erweiterung aus der Liste der ISAPI -DLLs
Klicken Sie auf Ihrem NT -Desktop auf Start -> Programme -> Windows NT 4.0 Option Pack -> MIC
Rosoft Internet Server-> Internet Service Manager; Klicken Sie auf die Schaltfläche Konfigurieren, wählen Sie die relevante Zuordnung von .HTR im Feld Application Mapping aus, wählen Sie Löschen und OK.
2. Installieren Sie den von Microsoft bereitgestellten Patch. Bitte beachten Sie die folgenden Websites genau
http://www.microsoft.com/security
http://www.microsoft.com/security/products/iis/checklist.asp
Einige Freunde können verwirrt sein. meine Absicht. Wir führen natürlich zunächst interaktive Websites für Netzwerkprogramme durch, um unsere eigenen Websites zu entwickeln und zu erstellen, aber alle basieren auf der Sicherheit Schutz, Gewährleistung des sicheren und normalen Betriebs von Website-Servern, der Sicherstellung und Authentifizierung von Benutzerinformationen usw. Wenn der E-Commerce in Zukunft zu einer wirklich umfangreichen Geschäftsbetriebmethode wird, ist die Sicherheit noch kritischer. Viele unserer Freunde sind auch in der Verantwortung der Netzwerkadministratoren als ASP -Programmierer. Daher wird der Autor in diesem Artikel am Ende einige Sicherheitsvorschläge zu NT- und IIS -Systemkonfigurationen auflisten, die er zusammengestellt hat, in der Hoffnung, Ihnen zu helfen.
1. Verwenden Sie die neueste Version von Microsoft Internet Information Server 4.0 und installieren Sie die neueste Version von NT Service Pack5.
2. Setzen Sie die Webverzeichnisse wie Beispiel, Skripte, Iisadmin und MSADC in IIS, um den anonymen Zugriff zu verbieten und IP -Adressen einzuschränken. Bevor Microsoft Patches bereitstellt, löschen Sie die Anwendungszuordnung, die sich auf ISM.Dll bezieht.
3. Wenn möglich, verwenden Sie den Firewall -Mechanismus.
V. benutzt werden. Für alle wichtigen Dateien, die sich mit dem System beziehen, außer Administrator, sollten andere Konten eher auf schreibgeschützte Berechtigungen als auf alle/vollständigen Kontrolle eingestellt werden.
5. Öffnen Sie nur die Dienste, die Sie benötigen, und blockieren Sie alle Ports, die nicht geöffnet werden sollten, wie beispielsweise Netbios Port 139, was ein typischer gefährlicher Port ist. Zusätzlich zur Verwendung einer Firewall bieten die TCP/IP -Einstellungen von NT diese Funktion: Öffnen Sie das Bedienfeld - Netzwerk - Protokoll - TCP/IP - Attribute - Erweitert - Sicherheitsmechanismus - Konfiguration, die TCP- und UDP -Ports liefert Protokollrestriktionsfunktionen.
6. Das Konto des Administrators sollte komplizierter festgelegt werden, und es wird empfohlen, Sonderzeichen hinzuzufügen.
7. Ändern Sie den TCP-Port von FTP und Telnet in nicht standardmäßige Ports.
8. Löschen Sie alle Aktien, die gelöscht werden können, einschließlich Druckerfreigabe und versteckter Aktien wie ICP $, admin $ usw. Microsoft sagt, dass diese speziellen gemeinsam genutzten Ressourcen wichtig sind und in den meisten Fällen nicht gelöscht werden können, aber tatsächlich die Maschinen platziert sind Im Internet sind die meisten nicht geteilt.
IPC $: Es ist für die Fernverwaltung von Computern und das Anzeigen gemeinsamer Ressourcen geeignet.
Admin $: Eigentlich ist es C:/winnt, und es muss nicht teilhaben müssen
C $: Benutzer, die sich bei Administrator und Backup-Operator angemeldet haben, können auf das C-Laufwerk zugreifen, wenn es sich um einen Computernamen/C $ handelt. Sie sollten ausgeschaltet sein.
Drucken Sie $: Dies ist das Verzeichnis, in dem der Drucker -Treiber platziert wird, und es ist auch ein sehr gefährlicher Eintrag, wie der oben.
NETLOGON: Dies ist die Aktie, die die Domain -Anmeldeanfragen bearbeitet. Wenn Ihre Maschine der Hauptdomänencontroller ist und es andere Maschinen in der Domäne gibt, die Sie anmelden möchten, löschen Sie sie nicht, andernfalls können Sie sie trotzdem löschen.
Wie schalten Sie diese Aktien aus? Verwenden Sie Server Manager -> Freigabeverzeichnis -> Stop Sharing
9. Verwalten Sie zentral das ASP -Verzeichnis und setzen Sie detaillierte Zugriffsberechtigungen für das ASP -Programmverzeichnis.
10. Ändern Sie den Namen von Sam._ Datei unter WINNT
Die Praxis hat bewiesen, dass diese Datei, die möglicherweise ein Kennwort verlässt, gelöscht werden kann, ohne sie zu löschen.
11. Für bekannte NT -Sicherheitslücken sollten Tests und Überprüfungen auf Ihrer eigenen Maschine durchgeführt werden. Und patches rechtzeitig installieren.
12. Verwenden Sie bei Bedarf den von IIS4.0 bereitgestellten SSL Secure Communication Mechanismus, um zu verhindern, dass Daten online abgefangen werden.