ASP.NET虛擬主機出現安全漏洞如何處理

     曾經(jīng)很早就在網(wǎng)上看到一篇關(guān)于＜的重大隱患＞的文章，當時(shí)并不在意，做過(guò)asp虛擬主機的朋友可能都知道，即對每一個(gè)用戶(hù)都設置一個(gè)獨立的服務(wù)器用戶(hù)和單個(gè)目錄的操作權限，能夠基本上解決asp的fso問(wèn)題。 　　在網(wǎng)上無(wú)意中發(fā)現了一個(gè)叫做webadmin的asp.net-webshell，對自己的服務(wù)器進(jìn)行測試的時(shí)候，讓我大吃一驚，居然對我服務(wù)器的c盤(pán)有讀取的權限。以及對整個(gè)硬盤(pán)的修改刪除權限。這樣的話(huà)，那么我的服務(wù)器的安全…… 　　為了進(jìn)一步證實(shí)，本人曾在國內一些著(zhù)名的虛擬主機提供商上作過(guò)測試，均有和我一樣的問(wèn)題。 　　有必要先介紹一下漏洞的原因。 　　ASP中常用的標準組件：FileSystemObject，這個(gè)組件為 ASP 提供了強大的文件系統訪(fǎng)問(wèn)能力，可以對服務(wù)器硬盤(pán)上的任何有權限的目錄和文件進(jìn)行讀寫(xiě)、刪除、改名等操作。FSO對象來(lái)自微軟提供的腳本運行庫scrrun.dll中。 在A(yíng)SP.NET中我們發(fā)現這一問(wèn)題仍然存在，并且變得更加難以解決。這是因為.NET中關(guān)于系統IO操作的功能變得更加強大，而使這一問(wèn)題更嚴重的是ASP.NET所具有的一項新功能，這就組件不需要象ASP那樣必須要使用regsvr32來(lái)注冊了，只需將Dll類(lèi)庫文件上傳到bin目錄下就可以直接使用了。這一功能確實(shí)給開(kāi)發(fā)ASP.NET帶來(lái)了很大的方便，但是卻使我們在A(yíng)SP中將此dll刪除或者改名的解決方法失去效用了，防范此問(wèn)題就變得更加復雜。需要進(jìn)一步了解的朋友可以看＜asp.net虛擬主機的重大隱患＞一文，本文就不再重復。只針對此問(wèn)題引出虛擬主機的安全設置。 　　網(wǎng)上提出針對此問(wèn)題用Microsoft .NET Framework Configration設置System.io的對目錄讀取的權限，經(jīng)過(guò)我們長(cháng)時(shí)間的測試沒(méi)有成功，可能是.net framework1.1機制改革了？ 　　廢話(huà)不說(shuō)。先說(shuō)說(shuō)解決的思路：在 IIS 6 中，Web 應用程序的工作進(jìn)程設置為以進(jìn)程標識“Network Service”運行。在 IIS 5 中，進(jìn)程外 Web 應用程序則設置為以 IWAM_＜服務(wù)器名＞ 帳戶(hù)運行，這個(gè)帳戶(hù)是普通的本地用戶(hù)帳戶(hù)。 　　Network Service 是 Windows Server 2003 中的內置帳戶(hù)。了解 IIS 5 上的本地用戶(hù)帳戶(hù)（IUSR 和 IWAM）與這個(gè)內置帳戶(hù)之間的區別是非常重要的。Windows 操作系統中的所有帳戶(hù)都分配了一個(gè) SID（安全標識，Security ID）。服務(wù)器是根據 SID，而不是與 SID 相關(guān)的名稱(chēng)來(lái)識別服務(wù)器上所有帳戶(hù)的，而我們在與用戶(hù)界面進(jìn)行交互時(shí)，則是使用名稱(chēng)進(jìn)行交互的。服務(wù)器上創(chuàng )建的絕大部分帳戶(hù)都是本地帳戶(hù)，都具有一個(gè)唯一的 SID，用于標識此帳戶(hù)隸屬于該服務(wù)器用戶(hù)數據庫的成員。由于 SID 只是相對于服務(wù)器是唯一的，因此它在任何其他系統上無(wú)效。所以，如果您為本地帳戶(hù)分配了針對某文件或文件夾的 NTFS 權限，然后將該文件及其權限復制到另一臺計算機上時(shí)，目標計算機上并沒(méi)有針對這個(gè)遷移 SID 的用戶(hù)帳戶(hù)，即使其上有一個(gè)同名帳戶(hù)也是如此。這使得包含 NTFS 權限的內容復制可能出現問(wèn)題。 　內置帳戶(hù)是由操作系統創(chuàng )建的、一類(lèi)較為特別的帳戶(hù)或組，例如 System 帳戶(hù)、Network Service 和 Everyone 組。這些對象的重要特征之一就是，它們在所有系統上都擁有一個(gè)相同的、眾所周知的 SID。當將分配了 NTFS 權限的文件復制到內置帳戶(hù)時(shí)，權限在服務(wù)器之間是有效的，因為內置帳戶(hù)的 SID 在所有服務(wù)器上都是相同的。Windows Server 2003 服務(wù)中的 Network Service 帳戶(hù)是特別設計的，專(zhuān)用于為應用程序提供訪(fǎng)問(wèn)網(wǎng)絡(luò )的足夠權限，而且在 IIS 6 中，無(wú)需提升權限即可運行 Web 應用程序。這對于 IIS 安全性來(lái)說(shuō)，是一個(gè)特大的消息，因為不存在緩沖溢出，懷有惡意的應用程序無(wú)法破譯進(jìn)程標識，或是對應用程序的攻擊不能進(jìn)入 System 用戶(hù)環(huán)境。更為重要的一點(diǎn)是，再也不能形成針對 System 帳戶(hù)的“后門(mén)”，例如，再也無(wú)法通過(guò) InProcessIsapiApps 元數據庫項利用加載到 Inetinfo 的應用程序。 　　Network Service 帳戶(hù)在創(chuàng )建時(shí)不僅僅考慮了在 IIS 6 中的應用。它還具有進(jìn)程標識 W3WP.exe 的絕大部分（并不是全部）權限。如同 ASPNET 用戶(hù)為了運行 ASP.net 應用程序，需要具有 IIS 5 服務(wù)器上某些位置的訪(fǎng)問(wèn)權限，進(jìn)程標識 W3WP.exe 也需要具有類(lèi)似位置的訪(fǎng)問(wèn)權限，而且還需要一些默認情況下沒(méi)有指派給內置組的權限。 　　為了管理的方便，在安裝 IIS 6 時(shí)創(chuàng )建了 IIS_WPG 組（也稱(chēng)為 IIS 工作進(jìn)程組，IIS Worker Process Group），而且它的成員包括 Local System（本地系統）、Local Service（本地服務(wù)）、Network Service（網(wǎng)絡(luò )服務(wù)）和 IWAM 帳戶(hù)。IIS_WPG 的成員具有適當的 NTFS 權限和必要的用戶(hù)權限，可以充當 IIS 6 中工作進(jìn)程的進(jìn)程標識。 　　因此，Network Service 帳戶(hù)提供了訪(fǎng)問(wèn)上述位置的權限，具有充當 IIS 6 工作進(jìn)程的進(jìn)程標識的充足權限，以及具有訪(fǎng)問(wèn)網(wǎng)絡(luò )的權限。 　　Msdn上說(shuō)：在 Windows Server 2003 中，用戶(hù)上下文稱(chēng)為 NETWORK SERVICE。這些用戶(hù)帳戶(hù)是在 .NET Framework 安裝過(guò)程中創(chuàng )建的，它具有唯一的不易破解的密碼，并僅被授予有限的權限。ASPNET 或 NETWORK SERVICE 用戶(hù)只能訪(fǎng)問(wèn)運行 Web 應用程序所需的特定文件夾，如 Web 應用程序存儲已編譯文件的 bin 目錄。 　　要將進(jìn)程標識設置為特定用戶(hù)名，以取代 ASPNET 或 NETWORK SERVICE 用戶(hù)標識，您提供的用戶(hù)名和密碼都必須存儲在 machine.config 文件中。 　　但是根據實(shí)際情況，asp.net的system.io可以無(wú)限制訪(fǎng)問(wèn)不設防的服務(wù)器路徑。不知道這算不算一個(gè)ms的重大漏洞。而且根本不能使iis以machine.config的用戶(hù)執行asp.net程序。J 　　如何解決呢？答案就是—應用程序池。 　　IIS 6.0 在被稱(chēng)為應用程序隔離模式（隔離模式）的兩種不同操作模式下運行，它們是：工作進(jìn)程隔離模式和 IIS 5.0 隔離模式。這兩種模式都要依賴(lài)于 HTTP.sys 作為超文本傳輸協(xié)議 (HTTP) 偵聽(tīng)程序；然而，它們內部的工作原理是截然不同的。        工作進(jìn)程隔離模式利用 IIS 6.0 的重新設計的體系結構并且使用工作進(jìn)程的核心組件。IIS 5.0 隔離模式用于依賴(lài) IIS 5.0 的特定功能和行為的應用程序。該隔離模式由 IIs5IsolationModeEnabled 配置數據庫屬性指定。 　　您所選擇的 IIS 應用程序隔離模式對性能、可靠性、安全性和功能可用性都會(huì )產(chǎn)生影響。工作進(jìn)程隔離模式是 IIS 6.0 操作的推薦模式，因為它為應用程序提供了更可靠的平臺。工作進(jìn)程隔離模式也提供了更高級別的安全性，因為運行在工作進(jìn)程中的應用程序的默認標識為 NetworkService。 　　以 IIS 5.0 隔離模式運行的應用程序的默認標識為 LocalSystem，該標識允許訪(fǎng)問(wèn)并具有更改計算機上幾乎所有資源的能力。 由此可見(jiàn)，我們只能使用工作進(jìn)程隔離模式解決.net的安全問(wèn)題。 默認情況下，IIS 6.0在工作進(jìn)程隔離模式下運行，如圖五所示。在這種模式中，對于每一個(gè)Web應用，IIS 6.0都用一個(gè)獨立的w3wp.exe的實(shí)例來(lái)運行它。w3wp.exe也稱(chēng)為工作進(jìn)程（Worker Process），或W3Core。 ASP可靠性和安全性?？煽啃缘奶岣呤且驗橐粋€(gè)Web應用的故障不會(huì )影響到其他Web應用，也不會(huì )影響http.sys，每一個(gè)Web應用由W3SVC單獨地監視其健康狀況。安全性的提高是由于應用程序不再象IIS 5.0和IIS 4.0的進(jìn)程內應用那樣用System帳戶(hù)運行，默認情況下，w3wp.exe的所有實(shí)例都在一個(gè)權限有限的“網(wǎng)絡(luò )服務(wù)”帳戶(hù)下運行，如圖六所示，必要時(shí)，還可以將工作進(jìn)程配置成用其他用戶(hù)帳戶(hù)運行。 IIS 對，這里，這里就是我們解決的核心。 　　我們把每一個(gè)網(wǎng)站都分配一個(gè)獨立的應用程序池，并賦予不同的權限。不就能解決這個(gè)問(wèn)題了嗎？ 具體如何做呢，下面我就針對建立一個(gè)網(wǎng)站來(lái)做一個(gè)示范： 　　首先，我們?yōu)榫W(wǎng)站創(chuàng )建兩個(gè)用戶(hù)（一個(gè)是app_test_user、密碼為appuser,一個(gè)是iis_test_user、密碼為iisuser） 　　1. 打開(kāi) 計算機管理器 　　2. 單擊控制臺樹(shù)中的用戶(hù)→計算機管理→系統工具→本地用戶(hù)和組→用戶(hù) 　　3. 單擊“操作”菜單上的“新用戶(hù)”輸入用戶(hù)名為。app_test_user、密碼為appuser 　　4. 在對話(huà)框中鍵入適當的信息。 　　5. 選中復選框： 　　　用戶(hù)不能更改密碼 　　　密碼永不過(guò)期 　　6. 單擊“創(chuàng )建”，然后單擊“關(guān)閉”。 ASP 　　按照此方法在創(chuàng )建iis_test_user賬戶(hù) 　　然后分別把app_test_user添加到iis_wpg組，把iis_test_user添加到Guests組。刪除其他組。 ASP 　　然后，建立相應的應用程序池。 　　依次打開(kāi)Internet 信息服務(wù)→本地計算機→應用程序池→新建→應用程序池 新建一個(gè)名字為test的應用程序池 ASP 　　編輯test應用程序池的屬性→標示→配置→用戶(hù)名→瀏覽→把用戶(hù)名改為我們剛才建立的app_test_user并輸入相應的密碼 ASP   　　其次建立相應的網(wǎng)站。 　　依次打開(kāi)Internet 信息服務(wù)→本地計算機→網(wǎng)站→新建→test的網(wǎng)站，目錄為d:test →編輯test網(wǎng)站的屬性→主目錄→應用程序池→app_test_user →目錄安全性→身份驗證和訪(fǎng)問(wèn)控制→編輯，選擇我們剛才建立的iis_test_user,并輸入相應的密碼iisuser→保存并退出。 ASP 　　最后設定服務(wù)器的安全。 C:只給administrators和system完全控制的權利，刪除掉其他所有的權限，不替換子目錄 　　C:Documents and Settings繼承父項,并替換子目錄。 　　C:Program Files繼承父項,并替換子目錄，并把C:Program FilesCommon FilesMicrosoft Shared繼承屬性刪除并復制現有屬性，增加users的讀取權限并替換子目錄（這樣做是為了能夠讓asp,asp.net使用access等數據庫）。 　　C:windows刪除繼承,并復制現有屬性,只給予administrators,system完全控制和users讀取的權限并替換子目錄 　　其余所有的盤(pán)都只給于administrators和system用戶(hù)的完全控制權限，刪除其他所有用戶(hù)并替換子目錄。 　　D:test（用戶(hù)網(wǎng)站目錄）繼承現有屬性并增加app_test_user和iis_test_user完全控制的權限并替換子目錄。 　　以后每增加一個(gè)網(wǎng)站都以此類(lèi)推。 　　但是，至此，system.io還是對c:windows又讀取權限的，（懷疑network servers用戶(hù)屬于users組，但是好多服務(wù)都要使用users組來(lái)執行的，所以不能把c:windwos去掉users組的讀取權限）但必須知道系統路徑，有兩種方案解決。 　　1、 再安裝系統的時(shí)候使用無(wú)人值守安裝，更換c:windows默認安裝路徑，如更改為c:testtest(要符合dos的命名規則，不能超過(guò)8個(gè)字符)。這個(gè)是必需的 　　2、 以下位置具有指派給 IIS_WPG 的權限： 　　%windir%helpiishelpcommon – 讀取 　　%windir%IIS Temporary Compressed Files – 列出、讀取、寫(xiě)入 　　%windir%system32inetsrvASP Compiled Template – 讀取 　　Inetpubwwwroot（或內容目錄）- 讀取、執行 　　此外，IIS_WPG 還具有以下用戶(hù)權限： 　　忽略遍歷檢查（SeChangeNotifyPrivilege） 　　作為批處理作業(yè)登錄（SeBatchLogonRight） 　　從網(wǎng)絡(luò )訪(fǎng)問(wèn)此計算機（SeNetworkLogonRight） 　　當然兩種方法結合起來(lái)算是最安全的方案，一般使用第一種方案已經(jīng)算是很安全的，畢竟是用一個(gè)webshell來(lái)猜測8位字符的目錄還是需要花費時(shí)間的。使用防火墻很容易就能察覺(jué)出來(lái)，并加以控制。

文章來(lái)源：http://www.tuidc.com/idczixun/chanpin/host/2859.html

相關(guān)推薦

【上云季-1折驚爆價(jià)】香港/美國高性能云服務(wù)器27元起秒殺專(zhuān)場(chǎng)，上云必備，火爆開(kāi)搶>>點(diǎn)擊查看詳情<<

【全球云-高性能限量搶】高性能云主機好用能省，高性能高配置高儲存，輕松解鎖云端場(chǎng)景>>點(diǎn)擊查看詳情<<

【服務(wù)器-特價(jià)服務(wù)器】新購指定配置可享受限時(shí)特惠7折。每個(gè)用戶(hù)不限臺數 低至280元月>>點(diǎn)擊查看詳情<<