熟妇人妻中文字幕在线视频_无码人妻精品视频_久久躁夜夜躁狠狠躁_偷碰人妻无码视频

現(xiàn)在位置:范文先生網(wǎng)>理工論文>服務(wù)器安全及應(yīng)用>一個ASP.NET虛擬主機安全漏洞的解決方案

一個ASP.NET虛擬主機安全漏洞的解決方案

時間:2023-02-24 14:12:42 服務(wù)器安全及應(yīng)用 我要投稿
  • 相關(guān)推薦

一個ASP.NET虛擬主機安全漏洞的解決方案

一個ASP.NET虛擬主機安全漏洞的解決方案

一個ASP.NET虛擬主機安全漏洞的解決方案

 曾經(jīng)很早就在網(wǎng)上看到一篇關(guān)于<asp.net虛擬主機的重大隱患>的文章,當(dāng)時并不在意,做過asp虛擬主機的朋友可能都知道,即對每一個用戶都設(shè)置一個獨立的服務(wù)器用戶和單個目錄的操作權(quán)限,能夠基本上解決asp的fso問題。

  在網(wǎng)上無意中發(fā)現(xiàn)了一個叫做webadmin的asp.net-webshell,對自己的服務(wù)器進行測試的時候,讓我大吃一驚,居然對我服務(wù)器的c盤有讀取的權(quán)限。以及對整個硬盤的修改刪除權(quán)限。這樣的話,那么我的服務(wù)器的安全……

  為了進一步證實,本人曾在國內(nèi)一些著名的虛擬主機提供商上作過測試,均有和我一樣的問題。

  有必要先介紹一下漏洞的原因。

  ASP中常用的標(biāo)準(zhǔn)組件:FileSystemObject,這個組件為 ASP 提供了強大的文件系統(tǒng)訪問能力,可以對服務(wù)器硬盤上的任何有權(quán)限的目錄和文件進行讀寫、刪除、改名等操作。FSO對象來自微軟提供的腳本運行庫scrrun.dll中。
在ASP.NET中我們發(fā)現(xiàn)這一問題仍然存在,并且變得更加難以解決。這是因為.NET中關(guān)于系統(tǒng)IO操作的功能變得更加強大,而使這一問題更嚴(yán)重的是ASP.NET所具有的一項新功能,這就組件不需要象ASP那樣必須要使用regsvr32來注冊了,只需將Dll類庫文件上傳到bin目錄下就可以直接使用了。這一功能確實給開發(fā)ASP.NET帶來了很大的方便,但是卻使我們在ASP中將此dll刪除或者改名的解決方法失去效用了,防范此問題就變得更加復(fù)雜。需要進一步了解的朋友可以看<asp.net虛擬主機的重大隱患>一文,本文就不再重復(fù)。只針對此問題引出虛擬主機的安全設(shè)置。

  網(wǎng)上提出針對此問題用Microsoft .NET Framework Configration設(shè)置System.io的對目錄讀取的權(quán)限,經(jīng)過我們長時間的測試沒有成功,可能是.net framework1.1機制改革了?

  廢話不說。先說說解決的思路:在 IIS 6 中,Web 應(yīng)用程序的工作進程設(shè)置為以進程標(biāo)識“Network Service”運行。在 IIS 5 中,進程外 Web 應(yīng)用程序則設(shè)置為以 IWAM_<服務(wù)器名> 帳戶運行,這個帳戶是普通的本地用戶帳戶。

  Network Service 是 Windows Server 2003 中的內(nèi)置帳戶。了解 IIS 5 上的本地用戶帳戶(IUSR 和 IWAM)與這個內(nèi)置帳戶之間的區(qū)別是非常重要的。Windows 操作系統(tǒng)中的所有帳戶都分配了一個 SID(安全標(biāo)識,Security ID)。服務(wù)器是根據(jù) SID,而不是與 SID 相關(guān)的名稱來識別服務(wù)器上所有帳戶的,而我們在與用戶界面進行交互時,則是使用名稱進行交互的。服務(wù)器上創(chuàng)建的絕大部分帳戶都是本地帳戶,都具有一個唯一的 SID,用于標(biāo)識此帳戶隸屬于該服務(wù)器用戶數(shù)據(jù)庫的成員。由于 SID 只是相對于服務(wù)器是唯一的,因此它在任何其他系統(tǒng)上無效。所以,如果您為本地帳戶分配了針對某文件或文件夾的 NTFS 權(quán)限,然后將該文件及其權(quán)限復(fù)制到另一臺計算機上時,目標(biāo)計算機上并沒有針對這個遷移 SID 的用戶帳戶,即使其上有一個同名帳戶也是如此。這使得包含 NTFS 權(quán)限的內(nèi)容復(fù)制可能出現(xiàn)問題。
 內(nèi)置帳戶是由操作系統(tǒng)創(chuàng)建的、一類較為特別的帳戶或組,例如 System 帳戶、Network Service 和 Everyone 組。這些對象的重要特征之一就是,它們在所有系統(tǒng)上都擁有一個相同的、眾所周知的 SID。當(dāng)將分配了 NTFS 權(quán)限的文件復(fù)制到內(nèi)置帳戶時,權(quán)限在服務(wù)器之間是有效的,因為內(nèi)置帳戶的 SID 在所有服務(wù)器上都是相同的。Windows Server 2003 服務(wù)中的 Network Service 帳戶是特別設(shè)計的,專用于為應(yīng)用程序提供訪問網(wǎng)絡(luò)的足夠權(quán)限,而且在 IIS 6 中,無需提升權(quán)限即可運行 Web 應(yīng)用程序。這對于 IIS 安全性來說,是一個特大的消息,因為不存在緩沖溢出,懷有惡意的應(yīng)用程序無法破譯進程標(biāo)識,或是對應(yīng)用程序的攻擊不能進入 System 用戶環(huán)境。更為重要的一點是,再也不能形成針對 System 帳戶的“后門”,例如,再也無法通過 InProcessIsapiApps 元數(shù)據(jù)庫項利用加載到 Inetinfo 的應(yīng)用程序。

  Network Service 帳戶在創(chuàng)建時不僅僅考慮了在 IIS 6 中的應(yīng)用。它還具有進程標(biāo)識 W3WP.exe 的絕大部分(并不是全部)權(quán)限。如同 ASPNET 用戶為了運行 ASP.net 應(yīng)用程序,需要具有 IIS 5 服務(wù)器上某些位置的訪問權(quán)限,進程標(biāo)識 W3WP.exe 也需要具有類似位置的訪問權(quán)限,而且還需要一些默認(rèn)情況下沒有指派給內(nèi)置組的權(quán)限。

  為了管理的方便,在安裝 IIS 6 時創(chuàng)建了 IIS_WPG 組(也稱為 IIS 工作進程組,IIS Worker Process Group),而且它的成員包括 Local System(本地系統(tǒng))、Local Service(本地服務(wù))、Network Service(網(wǎng)絡(luò)服務(wù))和 IWAM 帳戶。IIS_WPG 的成員具有適當(dāng)?shù)?NTFS 權(quán)限和必要的用戶權(quán)限,可以充當(dāng) IIS 6 中工作進程的進程標(biāo)識。

  因此,Network Service 帳戶提供了訪問上述位置的權(quán)限,具有充當(dāng) IIS 6 工作進程的進程標(biāo)識的充足權(quán)限,以及具有訪問網(wǎng)絡(luò)的權(quán)限。

  Msdn上說:在 Windows Server 2003 中,用戶上下文稱為 NETWORK SERVICE。這些用戶帳戶是在 .NET Framework 安裝過程中創(chuàng)建的,它具有唯一的不易破解的密碼,并僅被授予有限的權(quán)限。ASPNET 或 NETWORK SERVICE 用戶只能訪問運行 Web 應(yīng)用程序所需的特定文件夾,如 Web 應(yīng)用程序存儲已編譯文件的 \bin 目錄。

  要將進程標(biāo)識設(shè)置為特定用戶名,以取代 ASPNET 或 NETWORK SERVICE 用戶標(biāo)識,您提供的用戶名和密碼都必須存儲在 machine.config 文件中。

  但是根據(jù)實際情況,asp.net的system.io可以無限制訪問不設(shè)防的服務(wù)器路徑。不知道這算不算一個ms的重大漏洞。而且根本不能使iis以machine.config的用戶執(zhí)行asp.net程序。J

  如何解決呢?答案就是—應(yīng)用程序池。

  IIS 6.0 在被稱為應(yīng)用程序隔離模式(隔離模式)的兩種不同操作模式下運行,它們是:工作進程隔離模式和 IIS 5.0 隔離模式。這兩種模式都要依賴于 HTTP.sys 作為超文本傳輸協(xié)議 (HTTP) 偵聽程序;然而,它們內(nèi)部的工作原理是截然不同的。

  工作進程隔離模式利用 IIS 6.0 的重新設(shè)計的體系結(jié)構(gòu)并且使用工作進程的核心組件。IIS 5.0 隔離模式用于依賴 IIS 5.0 的特定功能和行為的應(yīng)用程序。該隔離模式由 IIs5IsolationModeEnabled 配置數(shù)據(jù)庫屬性指定。

  您所選擇的 IIS 應(yīng)用程序隔離模式對性能、可靠性、安全性和功能可用性都會產(chǎn)生影響。工作進程隔離模式是 IIS 6.0 操作的推薦模式,因為它為應(yīng)用程序提供了更可靠的平臺。工作進程隔離模式也提供了更高級別的安全性,因為運行在工作進程中的應(yīng)用程序的默認(rèn)標(biāo)識為 NetworkService。

  以 IIS 5.0 隔離模式運行的應(yīng)用程序的默認(rèn)標(biāo)識為 LocalSystem,該標(biāo)識允許訪問并具有更改計算機上幾乎所有資源的能力。

 

IIS 功能
 IIS 5.0隔離模式宿主/組件
 工作進程隔離模式宿主/組件
 
工作進程管理
 N/A
 Svchost.exe/WWW 服務(wù)
 
工作進程
 N/A
 W3wp.exe/工作進程
 
運行進程內(nèi)ISAPI 擴展
 Inetinfo.exe
 W3wp.exe
 
運行進程外ISAPI 擴展
 DLLHost.exe
 N/A(所有的 ISAPI 擴展都在進程內(nèi))
 
運行ISAPI篩選器
 Inetinfo.exe
 W3wp.exe
 
HTTP.sys 配置 Svchost.exe/WWW 服務(wù)
 Svchost.exe/WWW
 服務(wù)
 
HTTP 協(xié)議支持
 Windows內(nèi)核/HTTP.sys
 Windows 內(nèi)核/HTTP.sys
 
IIS配置數(shù)據(jù)庫
 Inetinfo.exe
 Inetinfo.exe
 
FTP
 Inetinfo.exe
 Inetinfo.exe
 
NNTP
 Inetinfo.exe
 Inetinfo.exe
 
SMTP
 Inetinfo.exe
 Inetinfo.exe
 

 


  由此可見,我們只能使用工作進程隔離模式解決.net的安全問題。

默認(rèn)情況下,IIS 6.0在工作進程隔離模式下運行,如圖五所示。在這種模式中,對于每一個Web應(yīng)用,IIS 6.0都用一個獨立的w3wp.exe的實例來運行它。w3wp.exe也稱為工作進程(Worker Process),或W3Core。

 

 

 

  可靠性和安全性。可靠性的提高是因為一個Web應(yīng)用的故障不會影響到其他Web應(yīng)用,也不會影響http.sys,每一個Web應(yīng)用由W3SVC單獨地監(jiān)視其健康狀況。安全性的提高是由于應(yīng)用程序不再象IIS 5.0和IIS 4.0的進程內(nèi)應(yīng)用那樣用System帳戶運行,默認(rèn)情況下,w3wp.exe的所有實例都在一個權(quán)限有限的“網(wǎng)絡(luò)服務(wù)”帳戶下運行,如圖六所示,必要時,還可以將工作進程配置成用其他用戶帳戶運行。

 


  對,這里,這里就是我們解決的核心。

  我們把每一個網(wǎng)站都分配一個獨立的應(yīng)用程序池,并賦予不同的權(quán)限。不就能解決這個問題了嗎?
具體如何做呢,下面我就針對建立一個網(wǎng)站來做一個示范:

  首先,我們?yōu)榫W(wǎng)站創(chuàng)建兩個用戶(一個是app_test_user、密碼為appuser,一個是iis_test_user、密碼為iisuser)

  1. 打開 計算機管理器

  2. 單擊控制臺樹中的用戶→計算機管理→系統(tǒng)工具→本地用戶和組→用戶

  3. 單擊“操作”菜單上的“新用戶”輸入用戶名為。app_test_user、密碼為appuser

  4. 在對話框中鍵入適當(dāng)?shù)男畔ⅰ?

  5. 選中復(fù)選框:

   用戶不能更改密碼

   密碼永不過期

  6. 單擊“創(chuàng)建”,然后單擊“關(guān)閉”。

 

 


  按照此方法在創(chuàng)建iis_test_user賬戶

  然后分別把app_test_user添加到iis_wpg組,把iis_test_user添加到Guests組。刪除其他組。

 

 

  然后,建立相應(yīng)的應(yīng)用程序池。

  依次打開Internet 信息服務(wù)→本地計算機→應(yīng)用程序池→新建→應(yīng)用程序池
新建一個名字為test的應(yīng)用程序池

 

 

  編輯test應(yīng)用程序池的屬性→標(biāo)示→配置→用戶名→瀏覽→把用戶名改為我們剛才建立的app_test_user并輸入相應(yīng)的密碼

 

其次建立相應(yīng)的網(wǎng)站。

  依次打開Internet 信息服務(wù)→本地計算機→網(wǎng)站→新建→test的網(wǎng)站,目錄為d:\test →編輯test網(wǎng)站的屬性→主目錄→應(yīng)用程序池→app_test_user →目錄安全性→身份驗證和訪問控制→編輯,選擇我們剛才建立的iis_test_user,并輸入相應(yīng)的密碼iisuser→保存并退出。

 

 


  最后設(shè)定服務(wù)器的安全。
C:只給administrators和system完全控制的權(quán)利,刪除掉其他所有的權(quán)限,不替換子目錄


  C:\Documents and Settings繼承父項,并替換子目錄。

  C:\Program Files繼承父項,并替換子目錄,并把C:\Program Files\Common Files\Microsoft Shared繼承屬性刪除并復(fù)制現(xiàn)有屬性,增加users的讀取權(quán)限并替換子目錄(這樣做是為了能夠讓asp,asp.net使用access等數(shù)據(jù)庫)。

  C:\windows刪除繼承,并復(fù)制現(xiàn)有屬性,只給予administrators,system完全控制和users讀取的權(quán)限并替換子目錄

  其余所有的盤都只給于administrators和system用戶的完全控制權(quán)限,刪除其他所有用戶并替換子目錄。

  D:\test(用戶網(wǎng)站目錄)繼承現(xiàn)有屬性并增加app_test_user和iis_test_user完全控制的權(quán)限并替換子目錄。

  以后每增加一個網(wǎng)站都以此類推。

  但是,至此,system.io還是對c:\windows又讀取權(quán)限的,(懷疑network servers用戶屬于users組,但是好多服務(wù)都要使用users組來執(zhí)行的,所以不能把c:\windwos去掉users組的讀取權(quán)限)但必須知道系統(tǒng)路徑,有兩種方案解決。

  1、 再安裝系統(tǒng)的時候使用無人值守安裝,更換c:\windows默認(rèn)安裝路徑,如更改為c:\testtest(要符合dos的命名規(guī)則,不能超過8個字符)。這個是必需的

  2、 以下位置具有指派給 IIS_WPG 的權(quán)限:

  %windir%\help\iishelp\common – 讀取
  %windir%\IIS Temporary Compressed Files – 列出、讀取、寫入
  %windir%\system32\inetsrv\ASP Compiled Template – 讀取
  Inetpub\wwwroot(或內(nèi)容目錄)- 讀取、執(zhí)行

  此外,IIS_WPG 還具有以下用戶權(quán)限:

  忽略遍歷檢查(SeChangeNotifyPrivilege)

  作為批處理作業(yè)登錄(SeBatchLogonRight)

  從網(wǎng)絡(luò)訪問此計算機(SeNetworkLogonRight)

  當(dāng)然兩種方法結(jié)合起來算是最安全的方案,一般使用第一種方案已經(jīng)算是很安全的,畢竟是用一個webshell來猜測8位字符的目錄還是需要花費時間的。使用防火墻很容易就能察覺出來,并加以控制

【一個ASP.NET虛擬主機安全漏洞的解決方案】相關(guān)文章:

一個安全保障體系的整套解決方案08-05

虛擬主機租用合同08-06

虛擬主機租用合同03-28

ASP.NET的網(wǎng)站新聞管理系統(tǒng)設(shè)計與實現(xiàn)08-06

ASP.NET的網(wǎng)站新聞管理系統(tǒng)設(shè)計與實現(xiàn)08-06

ASP.NET的網(wǎng)站新聞管理系統(tǒng)設(shè)計與實現(xiàn)08-06

ASP.NET的網(wǎng)站新聞管理系統(tǒng)設(shè)計與實現(xiàn)08-06

ASP.NET的網(wǎng)站新聞管理系統(tǒng)設(shè)計與實現(xiàn)-08-06

ASP.NET的網(wǎng)站新聞管理系統(tǒng)設(shè)計與實現(xiàn)08-06