網頁的漏洞主要有注入漏洞、跨站漏洞、旁註漏洞、上傳漏洞、暴庫漏洞和程式漏洞等等。針對這麼多的漏洞威脅,網站管理員要對自己的網站進行安全 檢測,然後進行安全設定或者程式碼改寫。那如何來檢測網站存在的漏洞呢?其實,很多攻擊者都是通過一些黑客工具來檢測網站的漏洞然後實施攻擊的。那麼網站的 管理員就可以利用這些工具對網站進行安全檢測,看有沒有上述漏洞,筆者就不一一演示了。下面就列舉一個當前比較流行的eWEBEditor線上HTML編 輯器上傳漏洞做個演示和分析。
1、網站入侵分析
eWEBEditor是一個線上的HTML編輯器,很多網站都整合這個編輯器,以方便釋出資訊。低版本的eWEBEditor線上HTML編輯器,存在者上傳漏洞,黑客利用這點得到WEBSHELL(網頁管理許可權)後,修改了網站,進行了掛馬操作。
其原理是:eWEBEditor的預設管理員登入頁面沒有更改,而且預設的`使用者名稱和密碼都沒有更改。攻擊者登陸eWEBEditor後,新增一種新的樣式型別,然後設定上傳檔案的型別,比如加入asp檔案型別,就可以上傳一個網頁木馬了。
2、判斷分析網頁漏洞
(1)攻擊者判斷網站是否採用了eWEBEditor的方法一般都是通過瀏覽網站檢視相關的頁面或者通過搜尋引擎搜尋類似”ewebeditor.asp?id=”語句,只要類似的語句存在,就能判斷網站確實使用了WEB編輯器。
(2)eWEBEditor編輯器可能被黑客利用的安全漏洞:
a.管理員未對資料庫的路徑和名稱進行修改,導致黑客可以利用編輯器預設路徑直接對網站資料庫進行下載。
b.管理員未對編輯器的後臺管理路徑進行修改導致黑客可以通過資料庫獲得的使用者名稱和密碼進行登陸或者直接輸入預設的使用者名稱和密碼,直接進入編輯器的後臺。
c.該WEB編輯器上傳程式存在安全漏洞。
四、網頁木馬的防禦和清除
1、防禦網頁木馬,服務器設定非常重要,反註冊、解除安裝危險元件:(網頁後門木馬呼叫的元件)
(1)解除安裝wscript.shell物件,在cmd先或者直接執行:
regsvr32 /u %windir%system32WSHom.Ocx
(2)解除安裝FSO物件,在cmd下或者直接執行:
regsvr32.exe /u %windir%system32scrrun.dll
(3)解除安裝stream物件,在cmd下或者直接執行:
regsvr32.exe /u /s “C:Program FilesCommon FilesSystemadomsado15.dll”
注:如果想恢復的話只需重新註冊即可,例如:regsvr32 %windir%system32WSHom.Ocx
2、清理網頁掛馬
(1)利用雷客圖ASP站長安全助手查詢所有在2008-3.1日-2008.3.5日之間所有修改過的檔案裡是否有iframe語句和http://www.xxx.com/a.htm關鍵詞,進行手工清理。
(2)也可利用雷客圖ASP站長安全助手批量刪除網馬。
(3)檢測JS檔案,在2008-3.1日-2008.3.5日之間增加的JS檔案全部刪除。(圖9)
從分析報告可以看到網站的admin路徑下發現lb.asp網頁木馬,經分析為老兵的網頁木馬。(加密後依舊能通過特徵碼分辨,推薦網站管理員使用雷客ASP站長安全助手,經常檢測網站是否被非法修改。)
提示:雷客圖ASP站長安全助手可以幫助站長分析網站的安全狀況,但是一定要更改它的預設使用者名稱和密碼。
3、解決eWEBEditor編輯器安全隱患
由於網站在開發時集成了eWEBEditor編輯器,刪除或者替換容易導致其他問題的出現,推薦按如下方案解決:
(1)修改該編輯器的預設資料庫路徑和資料庫名,防止被黑客非法下載。
預設登入路徑admin_login.asp
預設資料庫db/ewebeditor.mdb
(2)修改編輯器後臺登入路徑和預設的登入使用者名稱和密碼,防止黑客進入管理介面。
預設帳號admin
預設密碼admin或者admin888(圖10)
(3)對Upload.asp語句進行修改,防止黑客利用其上傳ASP木馬從而獲得WEB許可權。
對上傳語句現在進行修改:
將原來的:sAllowExt=Replace(UCase(sAllowExt),”ASP”,”")
修改為:
sAllowExt=Replace(UCase(sAllowExt),”ASP”,”"),”CER”,”"),”ASA”,”"),”CDX”,”"),”HTR”,”")
增加上傳對cer、asa、cdx、htr檔案型別的限制,因為這些型別的檔案都是可以執行的檔案,可以被攻擊者利用進行對網站及其伺服器進行危險操作的檔案型別。