ASP程序安全

在做安全配置前，我们先了解一下入侵者的攻击手法。现在很流行注入攻击，所谓注入攻击，就是利用提交特殊地址将ASP中引用的正常SQL语句和入侵者所需要的SQL语句一并执行，使入侵者达到入侵的目的。现在更是有一些脚本注入工具发布，使菜鸟也可以轻松完成对ASP的注入攻击。那么我们先来了解一下这些工具是怎样注入的。

首先，入侵者会对一个网站确定可不可以进行注入，假设一篇文章的地址为：http://www.scccn.com/news.asp?id=1一般会以提交两个地址来测试，如：

http://www.scccn.com/news.asp?id=1 and 1=1

http://www.scccn.com/news.asp?id=1 and 1=2

第一个地址后面加了 and 1=1，构成的SQL语句也就变为了：Select * from 表单名 where id=1 and 1=1这句话要成立就必须and前后语句都成立。那么前面的文章地址是可以访问的，后面的1=1也是客观成立的，那么第一个地址就可以正常显示；相反1=2是显然不成立的，关键就看这步了，如果提交and 1=2页面还是正常显示说明他并没有将and 1=2写入SQL语句，此站也就不存在注入漏洞；但如果提交and 1=2之后返回了错误页面则说明此站点将后面的语句带入了SQL语句并执行了，也就说明他可以进行SQL注入。（注：如果地址后面跟的是news.asp?id='1'就得变为news.asp?id=1' and '1'='1来补全引号了）

那么，知道可以注入后入侵者可以做什么呢？

这里就简单的说一下，比如提交这样的地址：

http://www.scccn.com/news.asp?id=1 and exists (select * from 表名 where 列名=数据)

根据返回的正确或错误页面来判断猜的表名和列名是否正确，具体实现时是先猜表名再猜列名。当猜出表名和列名之后还可以用ASC和MID函数来猜出各列的数据。MID函数的格式为：mid(变量名,第几个字符开始读取,读取几个字符)，比如：mid(pwd,1,2)就可以从变量pwd中的第一位开始读取两位的字符。ASC函数的格式为：ASC（"字符串"），如：asc("a")就可以读出字母a的ASCII码了。那么实际应用的时候就可以写为：asc(mid(pwd,1,1))这样读取的就是pwd列的第一个字符的ASCII码，提交： asc(mid(pwd,1,1))>97以返回的页面是否为正确页面来判断pwd列的第一个字符的ASCII码是否大于97（a的ASCII码），如果正确就再试是否小于122（z的ASCII码）……这样慢慢缩小字符的ASCII码的范围，猜到真实的ASCII码也只是时间的问题。一位一位的猜就可以得到数据库中的用户名和密码了。还有一种ASP验证缺陷——就是用户名和密码都输'or '1'='1，构造SQL语句Select * form 表单名 where username='' or '1'='1' and pwd='' or '1'='1'就可以达到绕过密码验证的目的。

说了那么多，其实防范的方法很简单，我们把特殊字符（如and、or、'、"）都禁止提交就可以防止注入了。ASP传输数据分为get和post两种， get是通过将数据添加到URL后提交的方式，post则是利用邮寄信息数据字段将数据传送到服务器。

那么，我们先来看看如何将get方式提交数据中的特殊字符过滤。首先要知道，IIS是以字符串的形式将get请求传给asp.dll的，在将数据传递给Request.QueryString之后，asp解析器会解析出Request.QueryString的信息，然后跟据"&"来分出各个数组内的数据。现在我们要让get方式不能提交以下字符：

'、and、exec、insert、select、delete、update、count、*、%、chr、mid、master、truncate、char、declare

那么，防止get方式注入的代码就如下：

<%

dim sql_leach,sql_leach_0,Sql_DATA

sql_leach = "',and,exec,insert,select,delete,update,count,*,%,chr,mid,master,truncate,char,declare"

sql_leach_0 = split(sql_leach,",")



If Request.QueryString<>"" Then

For Each SQL_Get In Request.QueryString

For SQL_Data=0 To Ubound(sql_leach_0)

if instr(Request.QueryString(SQL_Get),sql_leach_0(Sql_DATA))>0 Then

Response.Write "请不要尝试进行SQL注入！"

Response.end

end if

next

Next

End If

%>

其中，变量sql_leach中的字符串就是指定过滤的字符，以","隔开。

接着过滤post提交方式的注入，我们可以看到，request.form也是以数组形式存在的，只要对它再进行一次循环判断就可以了。防止以post方式注入的ASP代码如下：

<%

If Request.Form<>"" Then

For Each Sql_Post In Request.Form

For SQL_Data=0 To Ubound(sql_leach_0)

if instr(Request.Form(Sql_Post),sql_leach_0(Sql_DATA))>0 Then

Response.Write "请不要尝试进行SQL注入！"

Response.end

end if

next

next

end if

%>

这样，get和post注入都被禁止了。

另外就是数据库的问题，首先现在很流行的用*.asp命名数据库已经没什么意义了，因为可以用下载软件来下载；在数据库名前加#的作用也不大，虽然访问时浏览器只访问#前面的内容，但是如果将#用其unicode表达法（%23）替换掉就可以访问了。既然这样，那么我们禁止入侵者暴库就可以了。一般暴数据库的方法，是将读取数据库的文件名（如conn.asp）前的"/"替换为"%5c"（"\"的unicode表达法）这样就可以使ASP将%5c解释为访问网站根目录，而实际是数据库不在指定位置，找不到数据库，再将IE设置为"显示友好的HTTP错误信息"的情况下自然就暴出了数据库的路径。