Когда ASP быстро стала популярной на глобальном веб -сайте с его гибкими, простыми, практическими и мощными функциями, некоторые из его собственных недостатков и уязвимостей угрожают всем разработчикам веб -сайтов. Мы проведем подробное обсуждение новейших уязвимостей ASP и IIS в этом вопросе.
Ранее в этом месяце Microsoft снова была обвинена в том, что она не уделяет больше внимания безопасности своего программного обеспечения для веб -сервера. Недостаток, называемый незаконным запросом HTR, был обнаружен в популярном продукте Microsoft IIS SEAR 4.0. Согласно Microsoft, этот недостаток приведет к запуску любого кода на стороне сервера в определенных ситуациях. Но, по словам Фираса Бушнака, генерального директора компании Internet Security Company Eeye, которая обнаружила уязвимость, это только верхушка айсберга. Бушнак сказал, что Microsoft скрыла некоторые ситуации, такие как хакеры, которые могут использовать эту уязвимость для полного управления сервером IIS, и многие сайты электронной коммерции основаны на этой системе.
Детали этой уязвимости системы IIS перечислены ниже:
Последняя уязвимость безопасности IIS
Пострадавшие системы:
Интернет Informationserver4.0 (IIS4)
Microsoft Windows NT 4.0 SP3 Pack 4
Microsoft Windows NT 4.0 SP4 Pack 4
Microsoft Windows NT 4.0 SP5 Опции Pack 4
Дата публикации: 6.8.1999
Microsoft подтвердила уязвимость, но патчи еще не доступны.
Microsoft Security объявление (MS99-019):
Тема: ненормальная уязвимость запроса HTR
Время выпуска: 6.15.1999
краткое содержание:
Microsoft подтвердила серьезную уязвимость системы в своем выпущенном продукте веб -сервера, Internet Information Server 4.0, что приводит к отказу в атаке обслуживания на серверах IIS, и в этом случае он может привести к запуску любого двоичного кода на сервере. Патчи для уязвимости будут выпущены в ближайшем будущем, пожалуйста, обратите пристальное внимание на всех пользователей IIS.
Введение уязвимости:
IIS поддерживает различные типы файлов, которые требуют обработки на стороне сервера, таких как: ASP, ASA, IDC и HTR. Тем не менее, в ISM.Dll были серьезные уязвимости безопасности, файл, ответственный за обработку файлов HTR. (Примечание: сам файл HTR используется для удаленного управления паролями пользователей)
Уязвимость содержит непроверенный буфер в ISM.DLL, который может представлять две угрозы для работы безопасности веб -серверов. Во -первых, существует угроза от атаки отказа в обслуживании. Но веб -сервер IIS должен быть перезапущен. Другая угроза-еще более индуцирующая головные боли, используя хорошо застроенный запрос на файл, сможет воспользоваться преимуществами стандартного переполнения кэша, чтобы вызвать запуск кода бина на стороне сервера, и в этом случае что-либо может произойти! Уязвимость не включает в себя файлы .htr, которые предоставляют функциональность для управления паролями пользователей.
Принцип анализа:
Существует переполнение как минимум в одном расширении IIS (например: ASP, IDC, HTR). Мы предполагаем, что переполнение произойдет, когда IIS передаст полный URL в DLL для обработки расширения. Если DLL ISAPI не имеет правильного диапазона проверки, вызывая переполнение от inetinfo.exe, пользователь выполняет двоичный код из удаленного конца. Метод атаки: отправьте следующий HTTP -запрос IIS: get/[Overflow] .htr http/1.0, IIS будет сбой. [Переполнение] здесь может быть код длиной 3K.
Возможно, вы не очень хорошо знакомы с файлами .htr. И эта функция реализована набором файлов .htr и расширением DLL ISAPI: ISM.DLL. Когда полный URL -адрес передается в ISM.DLL, нет проверки на соответствующие пределы размера, произойдет переполнение, что приведет к сбою сервера. HTR/ISM.DLL ISAPI - это установка по умолчанию IIS4.
Решение:
Поскольку Microsoft не выпустила патчи, доступные для использования, мы можем сделать только некоторую аварийную профилактику.
1. Удалите расширение .htr из списка ISAPI DLLS
На рабочем столе NT нажмите «Пуск» -> Программы -> Windows NT 4.0 Пакет опций -> Микро
Информационный сервер Rosoft-> Internet Service Manager; Нажмите кнопку «Настроить», выберите соответствующее отображение .htr в поле Списка сопоставления приложений, выберите «Удалить» и «ОК».
2. Установите патч, предоставленную Microsoft, обратите пристальное внимание на следующие веб -сайты
http://www.microsoft.com/security
http://www.microsoft.com/security/products/iis/checklist.asp
Некоторые друзья могут быть озадачены. мое намерение. Мы проводим сетевые программы и разрабатываем интерактивные веб -сайты, конечно, для разработки и создания наших собственных веб -сайтов, но все они основаны на безопасности Защита, обеспечение безопасной и нормальной работы серверов веб-сайтов, обеспечение безопасности и аутентификации пользовательской информации и т. Д., Когда электронная коммерция станет действительно обширным методом бизнес-эксплуатации в будущем, безопасность станет еще более важной. Многие из наших друзей также несут обязанность сетевых администраторов в качестве программистов ASP. Поэтому в этой статье в конце автор перечислит некоторые предложения по обеспечению безопасности в конфигурациях системы NT и IIS, которые он собрал, надеясь помочь вам.
1. Используйте последнюю версию Microsoft Internet Information Server 4.0 и установите последнюю версию NT Service Pack5.
2. Установите веб -каталоги, такие как Sample, Scripts, Iisadmin и MSADC в IIS, чтобы запретить анонимный доступ и ограничить IP -адреса. Прежде чем Microsoft предоставит исправления, удалите отображение приложений, связанное с ISM.DLL.
3. Если возможно, используйте механизм брандмауэра.
4. Важные каталоги, такие как веб-каталоги, каталоги CGI, каталоги сценариев и каталоги Winnt, должны быть установлены с помощью функции NTFS. использовать. Для всех важных файлов, связанных с системой, кроме администратора, другие учетные записи должны быть установлены на разрешения только для чтения, а не все/полный контроль.
5. Откройте только необходимые услуги и блокируйте все порты, которые не должны открываться, например, порт Netbios Port 139, который является типичным опасным портом; В дополнение к использованию брандмауэра, настройки TCP/IP от NT также предоставляют эту функцию: Откройте панель управления - сеть - протокол - TCP/IP - атрибуты - Advanced - Включить механизм безопасности - конфигурация, которая предоставляет порты TCP и UDP Функции ограничения протокола.
6. Учетная запись администратора должна быть установлена более сложной, и рекомендуется добавлять специальные символы.
7. Измените порт TCP FTP и Telnet на нестандартные порты.
8. Удалите все акции, которые могут быть удалены, включая разделение принтеров и скрытые акции, такие как ICP $, Admin $ и т. Д. Microsoft говорит, что эти специальные общие ресурсы важны и не могут быть удалены в большинстве случаев, но на самом деле машины размещены В Интернете большие.
IPC $: Это подходит для удаленного управления компьютерами и просмотра общих ресурсов.
Админ $: На самом деле, это c:/winnt, и нет необходимости делиться этим
C $: Пользователи вошли в систему в администратор и резервный оператор могут получить доступ к C Drive с помощью // имени компьютера/C $ они должны быть выключены.
Печать $: Это каталог, в котором расположен драйвер принтера, и это также очень опасная запись, как приведенная выше.
NetLogon: Это общая связь, которая обрабатывает запросы входа в домен. Если ваша машина является основным контроллером домена, и в домене есть другие машины, которые вы хотите войти в систему, не удаляйте его, иначе вы все равно можете удалить его.
Как отключить эти акции? Используйте диспетчер серверов -> Поделиться каталогом -> перестать обмен
9. Центрально управляйте каталогом ASP и установите подробные разрешения на доступ к каталогу программы ASP.
10. Измените имя файла SAM._ в Winnt
Практика доказала, что этот файл, который может утечь пароль, может быть удален без удаления его.
11. Для известных уязвимостей безопасности NT, тестов и чеков следует выполнять на вашей собственной машине. И своевременно установите патчи.
12. При необходимости используйте механизм безопасной связи SSL, предоставленный IIS4.0, чтобы предотвратить перехват данных в Интернете.