● ASP.NET的安全漏洞[ZZ] - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: sephiroth (Dreams Come True), 信区: DotNET
标题: ASP.NET的安全漏洞[ZZ]
发信站: 荔园晨风BBS站 (Tue Mar 4 10:43:31 2003), 站内信件

微软公司在安全方面的名声是在是不敢恭维，我下面要谈到几个最新发现的问题。
为此，我查阅了安全专家H.D.Moore的声明（http://zdnet.com.
com/2100-1104-898302.html），在这个声明中，他指出了新的ASP.NET平台中几个
未覆盖的而又严重的安全漏洞。尽管如此，但我仍认为我们开发者应该为我们设计
的应用程序担负责任——这个责任不仅仅是微软公司的。

三大问题

Moore先生在最近召开的CanSecWest会议上介绍了他的发现（你可以在
digitaloffense.com（http://www.digitaloffense.net/confs/core02/slides/）
上看到他的文章）。在介绍完他在ASP.NET平台上发现的三个安全问题后，Moore示
范了如何利用它们来攻击系统。其中的某些攻击手段，特别是利用“cookie-less
会话（session）”会让你觉得简单的不可思议。

Cookie-less会话漏洞
“cookie-less会话”利用了ASP.NET中cookie-less会话管理模式的一个漏洞，它
包括了任何URL中的会话标识（id）。尤其是当新会话的id交给服务器时，新会话
就创建了，而不是服务器负责创建这些会话。这个漏洞使得攻击者可以窃取会话并
装扮成一个合法用户自由访问程序。

按照Moore的说法，攻击过程大致如下：

1、提交一个有效但是伪造的会话id，这个过程实现起来并不困难，因为会话id并
没有加密处理。

2、把上述的会话id嵌入到一个URL中，并通过电子邮件或者其它手段发送到用户手
中。

3、当用户点击这个URL并进入URL对应的页时，会话id仍保持有效，这时攻击者就
有了被欺骗的用户的所用系统访问的权限。

不良配置控制带来的信息泄漏
Moore还发现一个潜在攻击者可以用来检查有问题的应用程序的结构甚至在某些情
况下程序实际代码的方法。这个问题部分出于应用程序的开发者不良配置控制，部
分归咎于错误的技术资料。

ASP.NET可以在应用程序出错时可以向用户显示出自定义错误信息。当调试应用程
序时，常常关闭这个特性，这就造成服务器向客户返回堆栈轨迹（stack trace）
以及调试信息（不仅仅是常见的“发生一个错误”消息）。如果自定义错误信息未
被使能，调试信息仍会保留在正式发布的应用程序中（这是Visual Studio.NET默
认设置），文家名和路径以及源代码环境中的任何错误都会返回给用户。

Moore说，这些信息嵌入在错误页的HTML内容中，所以你只有查看页面的源代码才
可以看到它，但是这造成了一个潜在的危险问题。这些信息可能会给攻击者侦察你
的应用程序帮了大忙，这些信息还可能帮助你的竞争对手对你的程序进行反向工程
（破解）。

如果上面说得这些对你来说还不够的话，那么让我们看看ISAPI文件扩展名过滤器
的情况吧，它用来保护特定类型的文件不被任意下载和浏览，不过它不会自动保护
txt、csv和xml格式的文件不被身份通过验证的用户访问。如果你没有看出这里出
现的问题，请参考微软操作规程建议（http://msdn.microsoft.
com/library/en-us/cpguide/html/cpconcookieauthenticationusinganxmlusersf
ile.asp）中关于用xml文件来进行用户身份鉴定的部分，假定你把users.xml文件
放到根目录下，这样任何一个有合法身份的用户都可以下载并查看该文件，这样他
/她就会得到该应用程序所有用户的口令了。

Moore说新版的微软操作规程建议建议把该文件保存到一个受保护的目录下，这样
这个门就关闭起来了。但是工程中剩余的文件（例如扩展名为sln和slo的文件）和
其它可能引发问题的东西仍可能被访问到。他建议在应用程序发布之前删除这些文
件，并建议开发者不要在根目录上存放任何文件以防被他人看到。

一个传统的缺陷

Moore还发现aspnet_state会话句柄类容易受到溢出性攻击，而攻击者可以通过溢
出性攻击来执行任意的代码。这种缺陷是很普遍的，在普通应用程序中发现几十个
也不希奇，所以，从表面上看来，Moore在ASP.NET中发现这个问题并没有什么好吃
惊的。那到底是什么使得他感到吃惊（其实他感到的是极其的吃惊）呢？这就是.
NET管理运行时的环境，因此它应该排除在应用程序中出现未受保护的内存的可能
性，并确保这种攻击无效。

安全问题＝别人的事情？
Moore说开发者被微软公司发布的不准确信息所蒙蔽并对此一无所知，各种各样的
技术文章的作者也应当为这些安全问题的出现受到一定的指责。他说，例如，他发
现许多书籍、杂志和微软公司的文章都没有深入讨论如何验证用户输入的有效性，
而这个方法正可以防止上面提到的溢出性缺陷的出现。

我们很容易倾向定性为上述事件是微软公司掩饰安全问题或者认为微软过于匆忙的
将一个不安全的产品推向市场。然而，我认为开发者应该坚定这个信念：安全问题
并不是“别人的事情”。我们倾向于把安全的责任推给网络工程师或者开发工具提
供商，却单单忘了自己。我们还养成了依靠二手资料的坏习惯，二手资料常常不准
确，在获取技术信息上远远不如我们自己挖掘第一手材料，例如文档。不相信我？
那么出版印刷技术书籍是怎么成为一个价值数以百万美元的产业？

当然，在如此弱智的利用users.xml文件进行攻击的方法，微软技术文档中没有提
到。这就体现了自学和常识的重要性了。这里的教训就是：任何技术都不是绝对安
全的，我们也不应该这么指望——即使它贴着“Microsoft”的标签。
--

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.44.81]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店