Cuando ASP se hizo popular rápidamente en el sitio web global con sus características flexibles, simples, prácticas y poderosas, algunos de sus propios defectos y vulnerabilidades amenazan a todos los desarrolladores de sitios web. Realizaremos una discusión detallada sobre las últimas vulnerabilidades de seguridad ASP y IIS en este tema.
A principios de este mes, Microsoft fue acusado nuevamente de no prestar más atención a la seguridad de su software de servidor web. Se encontró un defecto llamado solicitud ILEGAL HTR en el popular producto de Microsoft IIS Sever 4.0. Según Microsoft, este defecto hará que cualquier código se ejecute en el lado del servidor en ciertas situaciones. Pero en palabras de Firas Bushnaq, CEO de la compañía de seguridad de Internet Eeye, que descubrió la vulnerabilidad, es solo la punta del iceberg. Bushnaq dijo que Microsoft ha ocultado algunas situaciones, como los piratas informáticos que pueden usar esta vulnerabilidad para controlar completamente el servidor IIS, y muchos sitios de comercio electrónico se basan en este sistema.
Los detalles de esta vulnerabilidad del sistema IIS se enumeran a continuación:
La última vulnerabilidad de seguridad de IIS
Sistemas afectados:
Internet Informationserver4.0 (IIS4)
Microsoft Windows NT 4.0 SP3 Opción Pack 4
Microsoft Windows NT 4.0 SP4 Opción Pack 4
Microsoft Windows NT 4.0 SP5 Opción Pack 4
Fecha de publicación: 6.8.1999
Microsoft ha confirmado la vulnerabilidad, pero aún no hay parches disponibles.
Anuncio de seguridad de Microsoft (MS99-019):
Tema: Vulnerabilidad anormal de solicitud de HTR
Tiempo de lanzamiento: 6.15.1999
resumen:
Microsoft ha confirmado una seria vulnerabilidad del sistema en su producto de servidor web lanzado, Internet Information Server 4.0, lo que da como resultado un ataque de denegación de servicio en los servidores IIS, en cuyo caso podría hacer que cualquier código binario se ejecute en el servidor. Los parches para la vulnerabilidad se lanzarán en el futuro cercano, por favor preste mucha atención a todos los usuarios de IIS.
Introducción de vulnerabilidad:
IIS admite una variedad de tipos de archivos que requieren procesamiento del lado del servidor, como: ASP, ASA, IDC y HTR. Sin embargo, hubo serias vulnerabilidades de seguridad en ISM.DLL, un archivo responsable del procesamiento de archivos HTR. (Nota: el archivo HTR en sí se usa para administrar de forma remota las contraseñas de usuario)
La vulnerabilidad contiene un búfer no verificado en ISM.DLL, que puede representar dos amenazas para la operación de seguridad de los servidores web. Primero, hay una amenaza de un ataque de negación del servicio. Pero el servidor web IIS debe reiniciarse. Otra amenaza es aún más inductor de dolor de cabeza, al usar una solicitud de archivo bien construida, podrá aprovechar el desbordamiento de caché estándar significa que el código de contenedor se ejecute en el lado del servidor, ¡en cuyo caso cualquier cosa puede suceder! La vulnerabilidad no incluye archivos .HTR que proporcionan funcionalidad para administrar las contraseñas de los usuarios.
Análisis principal:
Hay un desbordamiento en al menos una extensión IIS (por ejemplo: ASP, IDC, HTR). Especulamos que el desbordamiento ocurrirá cuando IIS pase la URL completa a la DLL para procesar la extensión. Si el ISAPI DLL no tiene el rango de límite de verificación correcto, causando un desbordamiento de inetinfo.exe, el usuario ejecuta el código binario desde el extremo remoto. Método de ataque: Envíe la siguiente solicitud HTTP a IIS: Get/[Overflow] .HTR HTTP/1.0, IIS se bloqueará. El [desbordamiento] aquí puede ser un código de 3k de largo.
Es posible que no esté muy familiarizado con los archivos .HTR. Y esta función es implementada por un conjunto de archivos .hTR y una DLL de extensión de ISAPI: ISM.DLL. Cuando se pasa una URL completa a ISM.DLL, no hay verificación de los límites de tamaño apropiados, se producirá un desbordamiento, lo que hace que el servidor se bloquee. HTR/ISM.DLL ISAPI es la instalación predeterminada de IIS4.
Solución:
Dado que Microsoft no ha lanzado parches disponibles para su uso, solo podemos hacer una prevención de emergencia.
1. Elimine la extensión .HTR de la lista de dlls isapi
En su escritorio de NT, haga clic en Inicio—> Programas—> PACK DE OPCIÓN WINDOWS NT 4.0 -> MIC
ROSOFT INFORMACIÓN DE INTERNECTO-Manager de servicio de Internet; Haga clic en Configurar el botón, seleccione la asignación relevante de .HTR en el cuadro de lista de mapeo de aplicaciones, seleccione Eliminar y Aceptar.
2. Instale el parche proporcionado por Microsoft, preste mucha atención a los siguientes sitios web
http://www.microsoft.com/security
http://www.microsoft.com/security/products/iis/checklist.asp
Algunos amigos pueden estar desconcertados. mi intención. Llevamos a cabo una programación de redes y desarrollamos sitios web interactivos, por supuesto, en primer lugar, para desarrollar y crear nuestros propios sitios web, pero todos se basan en la seguridad aquí incluye ASP u otras aplicaciones de red que hemos trabajado duro para desarrollar. Protección, garantizar el funcionamiento seguro y normal de los servidores de sitios web, garantizar la seguridad y la autenticación de la información del usuario, etc., cuando el comercio electrónico se convierte en un método de operación comercial verdaderamente extenso en el futuro, la seguridad es aún más crítica. Muchos de nuestros amigos también son responsabilidad de los administradores de la red como programadores de ASP. Por lo tanto, en este artículo al final, el autor enumerará algunas sugerencias de seguridad sobre las configuraciones del sistema NT e IIS que ha compilado, con la esperanza de ayudarlo.
1. Use la última versión de Microsoft Internet Information Server 4.0 e instale la última versión de NT Service Pack5.
2. Establezca los directorios web como muestra, scripts, iiSadmin y msadc en IIS para prohibir el acceso anónimo y restringir las direcciones IP. Antes de que Microsoft proporcione parches, elimine la asignación de aplicaciones relacionada con ISM.DLL.
3. Si es posible, use el mecanismo de firewall.
4. Directorios importantes como directorios web, directorios CGI, directorios de scripts y directorios WINNT deben establecerse con la función NTFS. ser usado. Para todos los archivos importantes relacionados con el sistema, excepto el administrador, otras cuentas deben establecerse en permisos de solo lectura, en lugar de todos/control completo.
5. Solo abra los servicios que necesita y bloquea todos los puertos que no deben abrirse, como el puerto 139 de Netbios, que es un puerto peligroso típico; Además de usar un firewall, la configuración TCP/IP de NT también proporciona esta función: Abra el panel de control - red - protocolo - TCP/IP - Atributos - Avanzado - Habilitar el mecanismo de seguridad - Configuración, que proporciona puertos TCP y UDP. Funciones de restricción de protocolo.
6. La cuenta del administrador debe establecerse más complicado, y se recomienda agregar caracteres especiales.
7. Cambie el puerto TCP de FTP y Telnet a puertos no estándar.
8. Elimine todas las acciones que se pueden eliminar, incluida el intercambio de impresoras y las acciones ocultas como ICP $, Admin $, etc. Microsoft dice que estos recursos compartidos especiales son importantes y no se pueden eliminar en la mayoría de los casos, pero de hecho, las máquinas colocadas En Internet son grandes.
IPC $: es adecuado para la administración remota de las computadoras y la visualización de recursos compartidos.
Admin $: en realidad, es c:/winnt, y no hay necesidad de compartirlo
C $: Los usuarios iniciaron sesión en Admin y Backup-Operator pueden acceder a la unidad C por // Nombre de la computadora/C $. Deben ser apagados.
Imprima $: Este es el directorio donde se coloca el controlador de impresora, y también es una entrada muy peligrosa como la anterior.
NetLogon: Esta es la parte que maneja las solicitudes de inicio de sesión del dominio. Si su máquina es el controlador de dominio principal y hay otras máquinas en el dominio que desea iniciar sesión, no la elimine, de lo contrario aún puede eliminarlo.
¿Cómo apagar estas acciones? Use el administrador del servidor—> Compartir directorio—> Deja de compartir
9. Administre centralmente el directorio ASP y establezca permisos de acceso detallados para el directorio del programa ASP.
10. Cambie el nombre de Sam._ Archivo en Winnt
, La práctica ha demostrado que este archivo que puede filtrar contraseña se puede eliminar sin eliminarlo.
11. Por vulnerabilidades de seguridad NT conocidas, se deben realizar pruebas y cheques en su propia máquina. E instalar parches de manera oportuna.
12. Si es necesario, use el mecanismo de comunicación seguro SSL proporcionado por IIS4.0 para evitar que los datos se intercepten en línea.