ASPが柔軟でシンプルで実用的で強力な機能を備えたグローバルウェブサイトですぐに人気を博したとき、それ自体の欠陥と脆弱性のいくつかは、すべてのウェブサイト開発者を脅かしています。この問題では、最新のASPおよびIISセキュリティの脆弱性について詳細な議論を行います。
今月初め、Microsoftは再びWeb Serverソフトウェアのセキュリティに注意を払っていないと非難されました。違法HTR要求と呼ばれる欠陥が、Microsoftの人気のある製品IIS Sever 4.0で見つかりました。 Microsoftによると、この欠陥により、特定の状況では、サーバー側でコードが実行されます。しかし、脆弱性を発見したInternet Security Company EyeのCEOであるFiras Bushnaqの言葉では、氷山の一角にすぎません。 Bushnaqは、Microsoftがこの脆弱性を使用してIISサーバーを完全に制御できるハッカーなど、いくつかの状況を隠しており、多くのeコマースサイトがこのシステムに基づいていると述べました。
このIISシステムの脆弱性の詳細は、以下にリストされています。
IISの最新のセキュリティの脆弱性
影響を受けるシステム:
Internet InformationServer4.0(IIS4)
Microsoft Windows NT 4.0 SP3オプションパック4
Microsoft Windows NT 4.0 SP4オプションパック4
Microsoft Windows NT 4.0 SP5オプションパック4
発行日:6.8.1999
Microsoftは脆弱性を確認していますが、まだ利用可能なパッチはありません。
Microsoft Security発表(MS99-019):
トピック:異常なHTR要求の脆弱性
リリース時間:6.15.1999
まとめ:
Microsoftは、リリースされたWebサーバー製品であるインターネット情報サーバー4.0の深刻なシステムの脆弱性を確認しました。その結果、IISサーバーが拒否されます。脆弱性のパッチは近い将来にリリースされます。すべてのIISユーザーに細心の注意を払ってください。
脆弱性の紹介:
IISは、ASP、ASA、IDC、およびHTRなどのサーバー側の処理が必要なさまざまなファイルタイプをサポートしています。ただし、HTRファイルの処理を担当するファイルであるISMDLLには、深刻なセキュリティの脆弱性がありました。 (注:HTRファイル自体は、ユーザーパスワードをリモートで管理するために使用されます)
脆弱性には、ISMDLLの未確認のバッファーが含まれており、Webサーバーのセキュリティ運用に2つの脅威をもたらす可能性があります。最初に、異常な.htrファイルからの.htrファイルへのリクエストからの脅威があります。ただし、IIS Webサーバーを再起動する必要があります。別の脅威はさらに頭痛を引き起こすことです。よく構築されたファイルリクエストを使用すると、標準のキャッシュオーバーフロー手段を利用して、ビンコードがサーバー側で実行されます。脆弱性には、ユーザーパスワードを管理する機能を提供する.htrファイルは含まれていません。
原則分析:
少なくとも1つのIIS拡張機能(ASP、IDC、HTRなど)にオーバーフローがあります。 IISが完全なURLをDLLに渡して拡張機能を処理すると、オーバーフローが発生すると推測します。 ISAPI DLLに正しいチェック制限範囲がない場合、inetinfo.exeからオーバーフローを引き起こす場合、ユーザーはリモートエンドからバイナリコードを実行します。攻撃方法:次のHTTP要求をIISに送信します:get/[overflow] .htr http/1.0、IISはクラッシュします。 [オーバーフロー]は、3Kの長さのコードです。
実際には、.htrファイルに精通していない場合があります。この関数は、.htrファイルのセットとISAPI:ism.dllの拡張DLLによって実装されます。完全なURLがISM.DLLに渡されると、適切なサイズの制限をチェックしないと、オーバーフローが発生し、サーバーがクラッシュします。 htr/ism.dll ISAPIは、IIS4のデフォルトインストールです。
解決:
Microsoftは使用可能なパッチをリリースしていないため、緊急防止のみを行うことしかできません。
1.ISAPIDLLのリストから.htr拡張子を削除します
NTデスクトップで、[開始]をクリックします - > [プログラム]> [Windows NT 4.0オプションパック]>マイク
Rosoft Internet Server>インターネット情報サーバーを右クリックし、[プロパティ]を選択し、[編集]ボタンを選択します[構成]ボタンをクリックし、アプリケーションマッピングリストボックスで.htrの関連するマッピングを選択し、[削除]を選択します。
2。Microsoftが提供するパッチをインストールして、次のWebサイトに細心の注意を払ってください
http://www.microsoft.com/security
http://www.microsoft.com/security/products/iis/checklist.asp
一部の友人は、なぜ私は2つの主要なスペースを使用して、ASPの17番目と18番目の号でASPのセキュリティ問題に焦点を当てたのです。私の意図。もちろん、ネットワークプログラミングを実施し、最初に、独自のWebサイトを開発して構築しますが、これらはすべて、ASPまたはその他のネットワークアプリケーションに基づいています保護、ウェブサイトサーバーの安全かつ通常の運用を保証し、ユーザー情報のセキュリティと認証などを確保するなど、eコマースが将来本当に広範なビジネス運用方法になると、セキュリティがさらに重要になります。したがって、私たちの友人の多くは、ASPプログラマーとしてのネットワーク管理者の責任でもあります。これは、システムの運用に精通し、システムの脆弱性をタイムリーに理解し、できるだけ早くセキュリティの問題を解決することが非常に重要であり、必要です。したがって、最後のこの記事では、著者は、彼がコンパイルしたNTおよびIISシステム構成に関するいくつかのセキュリティ提案を、あなたを助けることを望んでいます。
1.最新バージョンのMicrosoft Internet Information Server 4.0を使用して、NT Service Pack5の最新バージョンを使用しますが、NTFを使用する必要があります。
2. IISでサンプル、スクリプト、IISADMIN、MSADCなどのWebディレクトリを設定して、匿名アクセスを禁止し、IPアドレスを制限します。 Microsoftがパッチを提供する前に、ISM.DLLに関連するアプリケーションマッピングを削除します。
3.可能であれば、最も簡単なものを使用して、フロントデスクにWebサービスを開くことです。
4. Webディレクトリ、CGIディレクトリ、スクリプトディレクトリ、Winntディレクトリなどの重要なディレクトリは、NTFS機能を使用して設定する必要があります。使用する。管理者を除くシステムに関連するすべての重要なファイルについて、他のアカウントは、すべての/完全な制御ではなく、読み取り専用のアクセス許可に設定する必要があります。
5.必要なサービスを開き、典型的な危険なポートを禁止するNetbiosポート139など、開くべきではないすべてのポートをブロックします。ファイアウォールの使用に加えて、NTのTCP/IP設定もこの機能を提供します。コントロールパネル - プロトコル - TCP/IP属性 - Advanced-セキュリティメカニズム - TCPおよびUDPポートを提供しますプロトコル制限機能。
6.管理者のアカウントをより複雑に設定する必要があり、特殊文字を追加することをお勧めします。
7. FTPのTCPポートとTelnetを非標準ポートに変更します。通常、10000〜65000の範囲に設定します
8.プリンター共有やICP $、admin $などの隠された株式を含む削除できるすべての株式を削除します。Microsoftは、これらの特別な共有リソースは重要であり、ほとんどの場合削除できないと述べていますが、実際には配置されたマシンは配置されていますインターネットでは、ほとんどが共有する必要はありません。
IPC $:コンピューターのリモート管理と共有リソースの表示に適しています。
admin $:実際、それはc:/winntであり、共有する必要はありません
c $:管理者にログインし、バックアップオペレーターは//コンピューター名/c $によってCドライブにアクセスできますが、リモートハッカーはLANのユーザーを偽装する方法もあります。それらはオフにする必要があります。
印刷$:これは、プリンタードライバーが配置されるディレクトリであり、上記のような非常に危険なエントリでもあります。
Netlogon:これは、ドメインログイン要求を処理する共有です。マシンがメインドメインコントローラーであり、ドメインにログインする他のマシンがある場合は、削除しないでください。そうしないと、削除できます。
これらの株式をオフにする方法は?サーバーマネージャーを使用します - >共有ディレクトリ - >共有を停止します
9. ASPディレクトリを中央に管理し、ASPプログラムディレクトリの詳細なアクセス権限を設定します。
10。winntの下のsam._ファイルの名前を変更します
、練習により、パスワードを漏れているこのファイルを削除せずに削除できることが証明されています。
11.既知のNTセキュリティの脆弱性については、テストとチェックを自分のマシンで行う必要があります。パッチをタイムリーにインストールします。
12。必要に応じて、IIS4.0が提供するSSLセキュア通信メカニズムを使用して、データがオンラインで傍受されるのを防ぎます。