馬青山

摘要：目前，ASP木馬的攻擊與防護(hù)問(wèn)題引起了人們?cè)絹?lái)越廣泛地關(guān)注。在實(shí)踐中，我們要采取各項(xiàng)切實(shí)有效的措施，加強(qiáng)ASP木馬的實(shí)效性。具體而言，我們既要控制上傳，又要防范SQL注入；既要進(jìn)行服務(wù)器設(shè)置，又要形成良好的編程習(xí)慣。

關(guān)鍵詞：ASP木馬網(wǎng)絡(luò)安全

近些年，隨著社會(huì)經(jīng)濟(jì)以及網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，ASP木馬的攻擊與防護(hù)問(wèn)題引起了人們?cè)絹?lái)越廣泛地關(guān)注。在新的網(wǎng)絡(luò)環(huán)境中，人們對(duì)瀏覽網(wǎng)絡(luò)工具、管理頁(yè)面、交互頁(yè)面等都提出了更高的要求。在這種情況下，各類基于腳本語(yǔ)言技術(shù)開發(fā)的網(wǎng)站呈現(xiàn)出不斷上升的趨勢(shì)。然而，這種趨勢(shì)的背后卻埋藏著巨大的網(wǎng)絡(luò)安全隱患。網(wǎng)站的后門工具Webshell的數(shù)量在不斷增加，功能也在不斷強(qiáng)大。在實(shí)踐中，Webshell可以穿越防火墻的阻礙，進(jìn)而實(shí)現(xiàn)控制網(wǎng)站服務(wù)器的目的。這是它最大的優(yōu)點(diǎn)，同時(shí)也是我們克服的最大難點(diǎn)。目前，ASP技術(shù)給人們帶來(lái)了諸多便利，但是，ASP木馬卻給人們帶來(lái)了諸多煩惱。如何做好ASP木馬的防護(hù)工作，是我們不得不面對(duì)的一項(xiàng)重點(diǎn)課題和難點(diǎn)課題?；谝陨系恼撌觯疚膹腤ebshell的內(nèi)涵與分類、ASP木馬工作原理、ASP木馬防范三個(gè)角度，對(duì)該問(wèn)題進(jìn)行了深入地分析與研究。

1、Webshell的內(nèi)涵與分類

簡(jiǎn)單地說(shuō)，webshell就是網(wǎng)絡(luò)入侵者控制網(wǎng)站服務(wù)器的一種腳本攻擊工具。它的基本流程是這樣的：網(wǎng)絡(luò)入侵者入侵一個(gè)網(wǎng)站后，經(jīng)常會(huì)將各種木馬后門文件放在網(wǎng)站服務(wù)器的web目錄內(nèi)，使其與正常的網(wǎng)頁(yè)文件攪混在一起。然后，網(wǎng)絡(luò)入侵者可以通過(guò)這些木馬后門文件控制網(wǎng)站服務(wù)器，進(jìn)行下載文件、執(zhí)行任意程序、查看數(shù)據(jù)庫(kù)等操作。Webshell有很強(qiáng)的隱蔽性，這是它的一個(gè)顯著特點(diǎn)。在入侵過(guò)程中，由于webshell與網(wǎng)站服務(wù)器或遠(yuǎn)程主機(jī)通過(guò)80端口傳遞數(shù)據(jù)，而這種傳遞不會(huì)被防火墻所攔截。所以，它可以順利地穿越防火墻，實(shí)現(xiàn)入侵的目的。

根據(jù)動(dòng)態(tài)腳本的不同，Webshell會(huì)有不同的分類?，F(xiàn)如今，Webshell主要有ASP、JSP和PHP三種腳本類型。據(jù)調(diào)查研究資料顯示，目前國(guó)內(nèi)網(wǎng)站大多采用SQLServer或ASP+Access類型，比例高達(dá)70%左右；其次是PHP+Mysql類型，比例達(dá)20%左右；而其它類型的使用率還不足10%。在現(xiàn)實(shí)中，因?yàn)锳SP具有開發(fā)簡(jiǎn)單、功能強(qiáng)大等優(yōu)點(diǎn)，所以它具有很強(qiáng)的市場(chǎng)占有率。具體而言，它不僅可以使復(fù)雜的Web應(yīng)用程序變得簡(jiǎn)單化，而且可以自身創(chuàng)建各種Web頁(yè)或Web應(yīng)用程序。因此，現(xiàn)如今，ASP技術(shù)的應(yīng)用廣度和深度都在不斷增大，越來(lái)越多的人通過(guò)這些技術(shù)來(lái)經(jīng)營(yíng)或維護(hù)自身的網(wǎng)站。

2、ASP木馬的工作原理

通俗地講，ASP木馬就是一些能夠在服務(wù)器端運(yùn)行的文件。它通過(guò)ASP提供的組件，獲取了各種網(wǎng)站服務(wù)器信息；并通過(guò)添加、修改、移動(dòng)、刪除文件的形式，實(shí)現(xiàn)了控制網(wǎng)站服務(wù)器的目的。ASP技術(shù)的功能非常強(qiáng)大，方便人們遠(yuǎn)程控制網(wǎng)站服務(wù)器。但是，在提供便利的同時(shí)，它也給網(wǎng)絡(luò)入侵者提供了使用ASP木馬入侵網(wǎng)站服務(wù)器的機(jī)會(huì)。與傳統(tǒng)的木馬程序相比，ASP木馬程序具有極強(qiáng)的隱蔽性和復(fù)雜性。

ASP木馬本來(lái)是一種管理程序，起初只是為了管理網(wǎng)站。但是，隨著其管理功能的不斷強(qiáng)大，ASP木馬的管理內(nèi)容更加寬泛，可以管理網(wǎng)站服務(wù)器端的諸多內(nèi)容。在實(shí)踐中，它的工作原理非常清晰，就是通過(guò)一些組件實(shí)現(xiàn)對(duì)網(wǎng)站服務(wù)器的管理，實(shí)現(xiàn)對(duì)文件或文件夾的添加、修改、移動(dòng)、刪除等諸多操作。目前，ASP木馬比較常用的組件有FSO、WSCIPT、SHELL幾種。

3、ASP木馬的防范

概括起來(lái)講，目前，我國(guó)經(jīng)常采用的ASP木馬的防范措施有以下幾種：

第一，要控制上傳。

眾所周知，ASP是一種后門程序，在Web服務(wù)器端運(yùn)行。因此，我們只有在上傳ASP木馬以后，它才有發(fā)揮作用的條件。我們要想防范ASP木馬，可以通過(guò)控制上傳入手。具體而言，一方面，我們?nèi)绻袟l件，就盡量用FTP方式上傳文件，并盡量不要安裝ASP程序；另一方面，我們?nèi)绻仨毑捎肁SP方式上傳文件，就要加強(qiáng)對(duì)ASP上傳程序的身份認(rèn)證，并要對(duì)上傳文件進(jìn)行嚴(yán)格的格式過(guò)濾。

第二，要防范SQL注入。

SQL注入既是一種漏洞，又是一種攻擊方式。它的產(chǎn)生方式有很多，如變量處理不當(dāng)、數(shù)據(jù)過(guò)濾不足等等。而在現(xiàn)實(shí)中，ASP木馬就是通過(guò)用戶修改或提交的這些數(shù)據(jù)來(lái)實(shí)施入侵的。具體而言，它通過(guò)SQL語(yǔ)句的插入，實(shí)現(xiàn)獲取敏感信息或控制網(wǎng)站服務(wù)器的目的。這樣，如果網(wǎng)絡(luò)入侵者SQL注入成功，就能獲得權(quán)限較高的用戶名與密碼，進(jìn)而上傳木馬或控制網(wǎng)站服務(wù)器。針對(duì)這個(gè)問(wèn)題，在實(shí)踐中，我們可以將一些傳遞參數(shù)驗(yàn)證加入到網(wǎng)頁(yè)中，這樣可以有效地防止信息出錯(cuò)。

第三，要進(jìn)行服務(wù)器設(shè)置。

通過(guò)上文論述，我們不難發(fā)現(xiàn)，ASP木馬通過(guò)FSO、WSCIPT、SHELL三種組件來(lái)實(shí)施具體的網(wǎng)絡(luò)入侵。從理論上講，我們?nèi)绻昧诉@幾種服務(wù)，就可以消除ASP木馬的侵害。但是，現(xiàn)實(shí)情況并非如此，這些組件，特別是FSO組件，是編程程序中必不可少的組件。因此，禁用辦法是根本不可行的。在實(shí)踐中，我們只能采取比較折中的辦法，如修改組件名稱方式、修改其調(diào)用方式等等。具體而言，我們可以采用修改FileSystemObject組件和修改Wscript.shell組件的辦法，來(lái)加強(qiáng)服務(wù)器設(shè)置工作。

第四，要形成良好的編程習(xí)慣。

實(shí)踐證明，良好的編程習(xí)慣是防止ASP木馬入侵的一項(xiàng)非常有效的手段。為了發(fā)揮這種手段的功效，我們可以采取這樣幾項(xiàng)措施：一是要從安全的角度編寫程序代碼，避免SQL注入；二是要盡量杜絕用戶名與口令的程序出現(xiàn)在ASP文件中，而要將其封裝在服務(wù)器端；三是要給予數(shù)據(jù)庫(kù)連接地用戶名與口令最小的權(quán)限。

4、結(jié)語(yǔ)

綜上所述，ASP木馬的防范是一項(xiàng)非常系統(tǒng)的工程。我們要想將該項(xiàng)工作做好，就要重點(diǎn)做好這樣幾項(xiàng)工作：首先，我們要對(duì)webshell的內(nèi)涵與分類以及ASP木馬的工作原理有一個(gè)清晰的認(rèn)識(shí)；其次，我們要對(duì)目前ASP木馬防范中存在的問(wèn)題有一個(gè)準(zhǔn)確的分析；最后，我們要采取各項(xiàng)切實(shí)有效的措施，增強(qiáng)ASP木馬防范的實(shí)效性。

參考文獻(xiàn)

[1]余曉永.ASP木馬的原理與防范實(shí)踐[J].宿州學(xué)院學(xué)報(bào),2008,23(2).

[2]陳小兵,于濱.ASP木馬漏洞安全防范策略[J].河北理工學(xué)院學(xué)報(bào),2006,28(2).

[3]尚修杰.網(wǎng)絡(luò)程序設(shè)計(jì)ASP[M].北京:交通大學(xué)出版杜,2010.