完善网站程序 脚本攻击防范策略完全篇

　　安全防护，如何做到安全防护？想要防护就要知道对方是如何进行攻击。有很多文章都在写如何攻下某站点，其实其攻击的途径也不过是以下几种：

　　1. 简单的脚本攻击

　　此类攻击应该属于无聊捣乱吧。比如****:alert(); </table>等等，由于程序上过滤的不严密，使攻击者既得不到什么可用的，但又使的他可以进行捣乱的目的。以目前很多站点的免费服务，或者是自身站点的程序上也是有过滤不严密的问题。

　　2. 危险的脚本攻击

　　这类脚本攻击已经过度到可以窃取管理员或者是其他用户信息的程度上了。比如大家都知道的cookies窃取，利用脚本对客户端进行本地的写操作等等。

　　3. Sql Injection 漏洞攻击

　　可以说，这个攻击方式是从动网论坛和BBSXP开始的。利用SQL特殊字符过滤的不严密，而对数据库进行跨表查询的攻击。比如：

　　http://127.0.0.1/forum/showuser.asp?id=999 and 1=1
　　http://127.0.0.1/forum/showuser.asp?id=999 and 1=2
　　http://127.0.0.1/forum/showuser.asp?id=999 and 0<>(select count(*) from admin)
　　http://127.0.0.1/forum/showuser.asp?id=999'; declare @a sysname set @a='xp_'+
　　'cmdshell' exec @a 'dir c:'---&aid=9

　　得到了管理员的密码也就意味着已经控制的整站，虽然不一定能得到主机的权限，但也为这一步做了很大的铺垫。类似的SQL Injection攻击的方式方法很多，对不同的文件过滤不严密所采取的查询方式也不同。所以说想做好一个完整的字符过滤程序不下一凡功夫是不可能的。

　　4. 远程注入攻击

　　某站点的所谓的过滤只是在提交表格页上进行简单的JS过滤。对于一般的用户来说，你大可不必防范；对早有预谋的攻击者来说，这样的过滤似乎根本没作用。我们常说的POST攻击就是其中一例。通过远程提交非法的信息以达到攻击目的。

　　通过上面的攻击方法的介绍，我们大致的了解了攻击者的攻击途径，下面我们就开始重点的介绍，如何有效的防范脚本攻击！

　　有了上面的过滤函数您可以在任何需要过滤的地方应用过滤函数直接使用就可以了。这就使我们的修复工作大大的简化了。

　　另外，我想在这里再次多提醒一下，一些站点的UBB在进行小的表情图标转化时也会出现过滤问题，由于很隐蔽所以不容易发现：

　　如：

　　我们标签内的文字进行修改，

　　不知道各位看懂没，前一个单引号用来中和程序提供的左引号，第二个单引号用来中和闭合的右引号，这样程序输出就为：

<img src='http://edu.chinaz.com/Get/Security/Defence/img/0001.gif' onerror=****:alert(); alt=''>

　　如果图片不存在，那么将激活onerror标签执行脚本程序。对于已经过滤了单引号的站点在这里用双引号一样可以完成。对于过滤了****字段的，只用alert()也完全可以。所以说要过滤就要过滤完全，别给攻击者留下一丝机会。

　　防范SQL Injection 漏洞攻击

　　可以这样说，这里似乎是整篇文章的重点了.SQL Injection 漏洞攻击的的多样化也使得我们在程序防护上不得不想的更多一些。面对SQL Injection 的强大"攻势"，我们到底该过滤哪些？

　　一些常用的危险字符有

　　' 数据库字段判别封闭

　　-- 某些数据库注释标志

　　# 某些数据库注释标志

　　" 可能导致程序出错

　　\ 跨越目录

　　3221143836nicode编码的特征字符

　　$ 可能用于变量标注

　　/ 和\ 一样

　　NULL 小心"空"录入的危险，可能导致数据库或系统处理报错，利用报错构造溢出.

　　空格和'一起，构造sql injeciton

　　? = & 如果存在二次参数传递，可能改写querystr。

　　(1) 从最一般的.SQL Injection 漏洞攻击来看：用户名和密码上的过滤问题，如：

　　提交：用户名为：'or''=' 用户密码为：'or''='

　　从程序出发，我们完全可以得出，数据库在执行以下操作

　　Sql=" SELECT * FROM lUsers WHERE Username=''or''='' and Password = ''or''=''"

　　这样一来，这样，SQL 服务器将返回 lUsers 表格中的所有记录，而 ASP 脚本将会因此而误认为攻击者的输入符合 lUsers 表格中的第一条记录，从而允许攻击者以该用户的名义登入网站。对此类注入的防范似乎简单的很：

　　利用以下程序就可以实现，程序体（4）

　　strUsername = Replace(Request.Form("Username")， "''"， "''''")

　　strPassword = Replace(Request.Form("Password")， "''"， "''''")

　　程序体（4）

　　（2）杜绝SQL 注入式攻击的第一步就是采用各种安全手段监控来自 ASP request 对象 (Reques、Request.QueryString、Request.Form、Request.Cookies和 Request.ServerVariables) 的用户输入，以确保 SQL 指令的可靠性。具体的安全手段根据你的 DBMS 而异。

　　SQL 注入式攻击可能引起的危害取决于该网站的软件环境和配置。当 Web 服务器以操作员(dbo)的身份访问数据库时，利用SQL注入式攻击就可能删除所有表格、创建新表格，等等。当服务器以超级用户 (sa) 的身份访问数据库时，利用SQL注入式攻击就可能控制整个 SQL 服务器；在某些配置下攻击者甚至可以自行创建用户帐号以完全操纵数据库所在的 Windows 服务器。

　　如：

http://127.0.0.1/forum/showuser.asp?id=999';declare @a sysname set @a='xp_'+

'cmdshell' exec @a 'dir c:'--&aid=9

http://127.0.0.1/forum/showuser.asp?id=999'; declare @a sysname set @a='xp'+

'_cm'+'dshell' exec @a 'dir c:'--&aid=9

　　甚至可以执行像：net user fqy fqy /add 这样的指令.当然这就需要你当前的运行身份必须是Sa，或者你攻击的只是一台虚拟主机，我劝你还是就此打住.

　　对于一些整机使用的站点来说防止通过80端口攻击而直接拿到整机管理权限，这一点就变得至关重要了。对xp_cmdshell 的过滤就成为首要，很多站点的程序都是用GET或者是GET与POST混合来提交数据的，对于此，我们给出一种防止GET进行SQL注入的程序：如程序体（5）

fqys=request.servervariables("query_string")

dim nothis(18)

nothis(0)="net user"

nothis(1)="xp_cmdshell"

nothis(2)="/add"

nothis(3)="exec%20master.dbo.xp_cmdshell"

nothis(4)="net localgroup administrators"

nothis(5)="select"

nothis(6)="count"

nothis(7)="asc"

nothis(8)="char"

nothis(9)="mid"

nothis(10)="'"

nothis(11)=":"

nothis(12)=""""

nothis(13)="insert"

nothis(14)="delete"

nothis(15)="drop"

nothis(16)="truncate"

nothis(17)="from"

nothis(18)="%"

errc=false

for i= 0 to ubound(nothis)

if instr(FQYs，nothis(i))<>0 then

errc=true

end if

next

if errc then

response.write " "

response.end

end if

　　我要做点声明的是：以上的程序只是对GET方式提交的数据进行的过滤，千万不要盲目套用。

　　像其他一些来自 ASP request 对象 (Reques、Request.QueryString、Request.Form、Request.Cookies和 Request.ServerVariables) 的用户输入的攻击方法的方法，大致都集中在脚本期望的输入变量是数字变量 (ID) 上，当然我们不能只看数字变量，比如：

http://127.0.0.1/systembbs/showtopic.asp?tid=99&name=abc' and left(userpasswor

d，1)='a

http://127.0.0.1/systembbs/addtopic.asp?tid=99&name=abc' and userpasswor

d='or''='

　　另外，如何单一的防止类似这样的注入错误?

http://127.0.0.1/systembbs/addtopic.asp?tid=99' ;delete forum_forum;--&page=33

　　防范程序: 程序体(6)

......addtopic.asp?action=add......

......addtopic.asp?action=delect......

Action1=trim(Request.QueryString())
if left(action1，7)<>"action=" then '限定querystring必须为 action=
error(err01)'错误处理
else
action=Request.querystring("action")'取得querystring的值
end if
select case action'对querystring进行处理
case "add"
.....
case "delete"
......
case else '如果querystring没有这个值则进行错误处理
error(err02)
end select

　　程序体(6)

　　出现这样的攻击，使我们的站长们不得不又再次头痛，这里我可以给出大家一个解决最好办法，一般的来说，用户名长度字符数不会超过15个字符，大都为14字符。那么我们从长度出发，来进行过滤：如程序体（7）

Name=replace(name，"'"，"")

If len(name)>16 then

Response.write " 你要做什么?"

Response.end

End if

　　程序体（7）

　　为什么我们这里以及过滤了单引号，怎么还要再次取一个长度限制呢？不多说了，看看4ngel的文章先<<饶过'限制继续射入>> .别问我怎么转数字格式，我不会，嘿嘿...^_^!

　　还继续回到我们的主题，" 脚本期望的输入变量是数字变量 (ID)".怎样进行注入防范，天呐，方法太多了，最直接的就是判断是否是数字整型，还有一些比较个性的验证办法，我们一一介绍一下 如:程序体(8)

　　一，判断数字是否是整型

　　p_lngID = CLng(Request("ID"))

　　二 取字长 这一点我相信一般的数据长度不会大于8位所以:

If len(ID)>8 then

response.write "bedpost"

response end

end if

　　三 我认为这是一种比较冒险的办法，就是再进行一次数据库的查询，如果数据库表内没有相同的值与之相同那么返回错误.

sql = "SELECT NAME FROM Category where ID="&ID

set temp=conn.Execute(SQL)

if temp.bof or temp.eof then

response.Redirect("index.asp")

else

cat_name=temp("name")

end if

set temp=nothing

‘上面的是数据ID 的检测，下面则是正式的查询

sql = "SELECT ID T_ID， NAME FROM Category where ID="&ID&" ORDER BY xh asc"

rs.open sql，conn，1，1

　　四，我自己常用的数据过滤脚本，专利，呵~

id=replace(id，"'"，"")

If len( request("id"))>8 then ‘ 为什么取长度上面程序中已经说明

response.write " "

response.end

else

If request("id")<>"" then ‘取不为空则是为了防止一些程序页中会出现空值情况，如果不在这里做判断，程序会校验出错.

If IsNumeric(request("id"))=False then ' 风清扬修改 ID数据监控程式

response.write " "

response.end

end if

end if

end if

　　已经讲到这里了，再提醒各位论坛站长一句，小心你们的文件上传：为什么论坛程序被攻破后主机也随之被攻击者占据。原因就在......对！ASP木马！一个绝对可恶的东西。病毒么？非也.把个文件随便放到你论坛的程序中，您老找去吧。不吐血才怪哦。如何才能防止ASP木马被上传到服务器呢？方法很简单，如果你的论坛支持文件上传，请设定好你要上传的文件格式，我不赞成使用可更改的文件格式，直接从程序上锁定，只有图象文件格式，和压缩文件就完全可以，多给自己留点方便也就多给攻击者留点方便。怎么判断格式，我这里收集了一个，也改出了一个，大家可以看一下： 程序体（10）

　　'判断文件类型是否合格

Private Function CheckFileExt (fileEXT)

dim Forumupload

Forumupload="gif，jpg，bmp，jpeg"

Forumupload=split(Forumupload，"，")

for i=0 to ubound(Forumupload)

if lcase(fileEXT)=lcase(trim(Forumupload(i))) then

CheckFileExt=true

exit Function

else

CheckFileExt=false

end if

next

End Function

　　‘验证文件内容的合法性

set MyFile = server.CreateObject ("Scripting.FileSystemObject")

set MyText = MyFile.OpenTextFile (sFile， 1) ' 读取文本文件

sTextAll = lcase(MyText.ReadAll): MyText.close

'判断用户文件中的危险操作

sStr ="8|.getfolder|.createfolder|.deletefolder|.createdirectory|

.deletedirectory"

sStr = sStr & "|.saveas|wscript.shell|script.encode"

sNoString = split(sStr，"|")

for i = 1 to sNoString(0)

if instr(sTextAll， sNoString(i)) <> 0 then

sFile = Upl.Path & sFileSave: fs.DeleteFile sFile

Response.write "<center><br><big>"& sFileSave &"文件中含有与操作目录等有关的命令"&_

"<br><font color=red>"& mid(sNoString(i)，2) &"</font>，为了安全原因，<b>不能上传。<b>"&_

"</big></center></html>"

Response.end

end if

next

　　程序体（10）

　　把他们加到你的上传程序里做一次验证，那么你的上传程序安全性将会大大提高.

　　什么？你还不放心？拿出杀手锏，请你的虚拟主机服务商来帮忙吧。登陆到服务器，将PROG ID 中的"shell.application"项和"shell.application.1"项改名或删除。再将"WSCRIPT.SHELL"项和"WSCRIPT.SHELL.1"这两项都要改名或删除。呵呵，我可大胆的说，国内可能近半以上的虚拟主机都没改过。只能庆幸你们的用户很合作，否则......我删，我删，我删删删......

　　小结

　　如何更好的达到防范SQL Injection的攻击？这里我个人给推荐几个办法，第一，免费程序不要真的就免费用，既然你可以共享原码，那么攻击者一样可以分析代码。如果有能力的站长最好还是更改一下数据库表名，字段名，只修改关键的admin， username， password就可以了，比如forum_upasswd 这样的字段名谁能猜到？如果你猜到了，最好赶快去买彩票吧，特等奖不是你还会有谁呢？另外，一般站点的关键就在于管理员的密码，很好的保护好你的管理员密码那是至关重要的，至少10位的数字字母组合。另外加上现在大多数站点程序都会使用MD5来加密用户密码，加上你密码的强壮性，那样你站点的安全性就大大的提高了。即使出现了SQL Injection漏洞，攻击者也不可能马上拿下你的站点。