讨论Session的安全性
放分 问题点数:51、回复次数:4Top
1 楼tonnycncn(托尼)(weiw.com)回复于 2001-12-27 01:00:39 得分 25
转载:
ASP漏洞分析和解决方法
15绕过验证直接进入ASP页面。
漏洞描述:
如果用户知道了一个ASP页面的路径和文件名,而这个文件又是要经过验证才能进去的,但是用户直接输入这个ASP页面的文件名,就有可能通过绕过验证.比如:我在一些网站上这样试过:首先关闭所有的浏览器,窗口,输入:
http://someurl/system_search.asp?page=1
就样就看到了只能系统员才能看到的页面。当然有些人为了防止这种情况也会在system_search.asp的开头加个判断,比如:判断session("system_name"),如果不为空时就能进入,这样上面的url请求就不能直接进入管理员页面了。但是这种方法也有一个漏洞,如果攻击者先用一个合法的帐号,或者在本机上生成一个session,如session("system_name")="admi",那因为session("system_name")不为空,这样也能直接进入绕过密码,直接进入管理员页面。
解决方法:
在需要验证的ASP页面开头处进行相应的处理。比如:可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。
16、IIS4.0/5.0特殊数据格式的URL请求远程DOS攻击
漏洞描述:
当在安装有有IIS4.0或者IIS5.0的web服务上,请求一个具有特殊数据格式的URL,会拖慢受攻击web服务器的响应速度,或许会使其暂时停止响应。
受影响的版本:
MicrosoftInternetInformationServer4.0
MicrosoftInternetInformationServer5.0
漏洞测试程序如下:
http://202.96.168.51/download/exploits/iisdos.exe
源代码如下:
http://202.96.168.51/download/exploits/iisdos.zip
测试程序:
只要打入:iisdos<***.***.**.**>就能攻击对方web服务器
问题解决:
InternetInformationServer4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=20906
InternetInformationServer5.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=20904
更多的信息:
http://www.microsoft.com/technet/security/bulletin/ms00-030.asp
Microsoft安全公告MS00-021:
http://www.microsoft.com/technet/security/bulletin/fq00-030.asp
Top
2 楼Nizvoo()回复于 2001-12-27 01:09:57 得分 1
收藏先Top
3 楼wulei()回复于 2001-12-27 02:44:33 得分 25
也许很多ASP开发者都会遇到这样的情况:在会话期间(session)无故丢失sessio
n。换而言之,丢失了SessionID,同样session级的变量也会丢失。
下面是关于sessions的问题。也许可以帮助你解决问题。
--------------
很多session丢失的原因是因为错误的程序或者是错误的虚拟目录结构。
SessionID 的改变有下面几个原因。
原因一:
Netscape的浏览器会认为"/App/user.asp"跟"/app/user.asp"是两个不同的程序
。它会自动地开始一个新的会话期(new session)。所以,才你的网站上一定要统
一字母的大小写。
原因二:
另外一个是原因是 Session.Timeout 的值。
Timeout这个属性是用来设置Session的超时时间的,一分钟为单位。假如一个用
户,在一个Timeout的时间内没有刷新或者请求页面,那么会话就会结束(the se
ssion ends)。当你再次请求页面的时候,一个新的会话有会开始。
确信Timeout的值,是分钟的。
格式: Session.Timeout [ = nMinutes]
原因三:
假如用户把他们的浏览器的cookie关了,当然session就不能保持。因为session
的保持是要靠cookie的。
要保持Session的状态,浏览器就必须支持cookie,而且在打开的状态。
你当然可以用其他的方法
原因四:
常犯的错误就是,建立了错误的目录结构。
像下面的目录结构:
root 放了global.asa
\virtual_root 没有global.asa
\another_virtual_root 没有global.asa
调用两个virtual roots的页面,就会执行相同的global.asa(root上的那个)
另外的一个目录结构:
root 没有global.asa
\virtual 放了global.asa
\another_virtual_root 另外一个global.asa
每一个不同目录下的global.asa都会各自执行,当然执行的代码就不同了。不过
如果里面的代码一样,就令当别说。:)
所以你在请求不同目录下页面,将会导致不同的global.asa被执行。不同的变量
被调用,不同的session id被建立....之前的有用的信息都被
破坏了。
下面是详细的解释:
当你先浏览子虚拟程序上的页面(child virtual application),然后再去浏览子
虚拟程序的上一级的父虚拟程序(parent virtual root)的页面。那些变量就会丢
失、破坏。看下面的表格:
请求 子程序1丢失 子程序2丢失
先请求Root 不会 不会
只在子程序1之前请求Root 不会 会
只在子程序2之前请求Root 会 不会
最后请求Root 会 会
有一个注册表的键值(registry entry),叫CheckForNestedVroots(缺省为 1)。是
设ASP是否去检测其他目录里的global.asa文件。
假如一个页面被请求,但是如果在这个被请求页面的同一目录里没有global.asa
这文件,那么asp就会去上级的目录里找。ASP设计就是这样的。另一方面,假如
application被请求的页面是在root的话,而global.asa也在root,那么ASP就会执
行这个在root上的global.asa文件。没有必要去找子目录下的global.asa文件了
。
Internet 服务管理器,可以把一个目录设成虚拟的目录,这样的目录是可以拥有
自己的global.asa文件,当然Application_OnStart和Session_OnStart是少不了
的(废话)。
这是个例子。他们都有Global.asa
C:\InetPub\wwwroot <Home>
Global.asa
C:\InetPub\wwwroot\Test2 (Nested)
Global.asa
C:\InetPub\wwwroot\Test2\Test3 (Nested)
Global.asa
C:\InetPub\wwwroot\Test4
Global.asa
注意:
如果Global.asa文件web请求时是要求认证的话,那么在Global.asa文件的Sessi
on_onStart过程里初始化的变量将会是空的。如果你的global.asa的权限真的是
这样设的话,那么将会带来很多的麻烦。例如你会见到这样的错误信息:
Microsoft OLE DB Provider for ODBC Drivers error '80004005
[Microsoft][ODBC Driver Manager] Data source name not found and no def
ault driver specified
/<web name>/<asp filename>.asp, line xx
这就是因为Session_onStart里面初始化的session变量是空的(根本就没有初始化
)。
另外:这个问题在win95上不存在。更准确的是说,像在FAT这样的,没有文件权
限设置的文件系统里,没有这样的问题。所以NT的NTFS是有这样问题的但,win9
5,98的就没有。
所以,你必须为Global.asa文件设置Internet匿名读取的权限,这样才保证问题
不会发生。
Top
4 楼luket(土匪.net)回复于 2001-12-27 08:15:30 得分 0
太好了,希望有跟多的人发起这样的讨论Top
