主题:  ASP.NET虚拟主机的重大安全隐患

未来

职务:版主
等级:5
金币:10.0
发贴:2730
#12003/9/9 21:36:17
说明:本文中所有程序均在Windows 2000 Server中文版 + SP2上编译运行无误 开发环境:.Net 框架1.0 Version 1.0.3705

一、ASP.NET虚拟主机存在的重大隐患

  我曾经在WWW.BRINKSTER.COM申请了一个免费的ASP.NET空间,上传了两个程序,其中一个查看目录和文件的程序证明我的判断:ASP共享空间服务器存在的一个安全问题,在 ASP+ 共享空间服务器中依然存在并且变得更加难以防范!通过这个程序我可以浏览所有用户的ASP+程序,可以查看服务器的系统日志……,当然,如果我想删除什么的话也不会有什么问题。为了让大家更清楚地了解这一问题,我们有必要简单介绍一下ASP中就已经存在的这一问题。

  ASP中常用的标准组件:FileSystemObject,这个组件为 ASP 提供了强大的文件系统访问能力,可以对服务器硬盘上的任何有权限的目录和文件进行读写、删除、改名等操作。FSO对象来自微软提供的脚本运行库scrrun.dll中。

  使用下面的代码就可以在ASP中创建一个FSO对象:

  Set fso = CreateObject("Scripting.FileSystemObject")

  我们使用fso对象包含的属性和方法,如Drive、Drives、Folder、Floders、File、Files等对服务器的磁盘、目录和文件进行读、写、删除等操作。这一强大的文件系统访问能力给ASP共享空间提供者带来了严重的安全问题,很多ASP空间的管理员都删除此组件或将这个组件改名以避免用户使用这一标准组件。删除组件或组件改名确实是一个简单的方法并且也很有效,但是却使广大用户无法使用它的强大的功能。网络上还有一种看起来很美的方案,它允许用户使用 FileSystemObject 组件又不影响服务器的安全,即对每一个用户都设置一个独立的服务器用户和单个目录的操作权限。但是这种方法是有问题的。因为ASP和ASP.NET中在这方面的问题十分类似,所以我们将在ASP.NET的相应解决办法部分详加说明。

  在ASP.NET中我们发现这一问题仍然存在,并且变得更加难以解决。这是因为.NET中关于系统IO操作的功能变得更加强大,而使这一问题更严重的是ASP.NET所具有的一项新功能,这就组件不需要象ASP那样必须要使用regsvr32来注册了,只需将Dll类库文件上传到bin目录下就可以直接使用了。这一功能确实给开发ASP.NET带来了很大的方便,但是却使我们在ASP中将此dll删除或者改名的解决方法失去效用了,防范此问题就变得更加复杂。在讨论解决方案之前,我们先来看一下怎么来实现上述的危险的功能。




二、文件系统操作示例
在我们编写代码之前,有必要了解一下我们需要用到的几个主要的类。这几个类都在System.IO名称空间下,System.IO 名称空间包含允许在数据流和文件上进行同步和异步读写的类。


  在整个应用程序的开始部分我们需要了解一下服务器的系统信息,这就需要用到System.Environment类,该类提供有关当前环境和平台的信息以及操作它们的方法。我们通过System.Environment类可以得到系统的当前目录和系统目录,这可以使我们更快的发现几个关键的目录;我们还可以通过获取运行当前进程的用户名来帮助我们了解ASP.NET程序运行所使用的用户,进一步设置用户权限以避免这一安全问题。

  我们还要使用System.IO名称空间的其他几个类是:

  System.IO.Directory:提供用于创建、移动和枚举通过目录和子目录的静态方法的类

  System.IO.File:提供用于创建、复制、删除、移动和打开文件的静态方法的类

  System.IO.FileInfo:提供创建、复制、删除、移动和打开文件的实例方法的类

  System.IO.StreamReader:实现一个 TextReader,使其以一种特定的编码从字节流中读取字符。

  每个我们所使用的类的属性和方法的具体用法我们将以代码注释的方式在程序中加以说明。

  System.IO名称空间在 .NET FRAMEWORK提供的mscorlib.dll中,在使用VS.Net编程之前需要将此Dll引用到此项目中。

  我们所编写的程序都使用了Codebehind方式,即每一个aspx程序都有一个对应的aspx.cs程序,aspx程序中只是写与页面显示相关的代码,所有逻辑实现的代码都放在相应的aspx.cs文件中,这样就可以更好得做到显示与逻辑的分离。由于我们的目的不是讨论Codebehind技术,所以就不在对此多加讨论了。

  在这篇文章里,我们只介绍几个主要的类及其关键方法的用法,详细程序请查看附带的源代码。

  程序一:显示服务器的当前信息和全部逻辑驱动器的名称的程序listdrivers.aspx

  主要方法1:我们使用 GetSysInf() 方法来得到服务器的当前环境和平台的信息

//获取系统信息的方法,此方法在listdrivers.aspx.cs文件中
public void GetSysInf () {
//获取操作系统类型
qDrives = Environment.OSVersion.ToString();
//获取系统文件夹
qSystemDir = Environment.SystemDirectory.ToString();
/*获取映射到进程上下文的物理内存量,通过这一内存映射量可以了解ASP.NET程序在运行时需要多少系统物理内存,有助于更好的规划我们的整个应用,因为物理内存量是以Byte为单位的,所以我们将此数值除以1024,可以得到单位为KB的物理内存量*/
qMo = (Environment.WorkingSet/1024).ToString();
//获取当前目录(即该进程从中启动的目录)的完全限定路径
qCurDir = Environment.CurrentDirectory.ToString();
//获取主机的网络域名
qDomName = Environment.UserDomainName.ToString();
//获取系统启动后经过的毫秒数
qTick = Environment.TickCount;
//计算得到系统启动后经过的分钟数
qTick /= 60000;
//获取机器名
qMachine = Environment.MachineName;
//获取运行当前进程的用户名
qUser = Environment.UserName;
/*检索此计算机上格式为"<驱动器号>:\"的逻辑驱动器的名称,返回字符串数组,这是下一步操作的关键所在*/
achDrives = Directory.GetLogicalDrives();
//获取此字符串数组的维数,确定有多少个逻辑驱动器
nNumOfDrives = achDrives.Length;
}


  系统信息不需要进行操作,我们简单的用asp:Label将他们显示出来就行了。逻辑驱动器的个数在不同的服务器上是不定的,所以用不定长数组保存逻辑驱动器的名称,而且逻辑驱动器的名称也是我们下一步浏览目录和文件的基础,故我们采用了数据网格DataGrid来显示和处理它。

  显示和处理逻辑驱动器名称的DataGrid的代码(代码在listdrivers.aspx文件):


<asp:DataGrid id="DriversGrid" runat="server" AutoGenerateColumns="false">
<Columns>
<asp:BoundColumn HeaderText="ID" DataField="ID" />
<asp:BoundColumn HeaderText="磁盘名" DataField="Drivers" />
<asp:HyperLinkColumn
HeaderText="详细信息"
DataNavigateUrlField="Drivers" DataNavigateUrlFormatString="listdir.aspx?dir={0}"
DataTextField="Detail"
Target="_new" />
</Columns>
</asp:DataGrid>

  前两个BoundColumn列都是显示序号和实际逻辑驱动器名称的,需要说明的是第三列,我们在进入各个逻辑驱动器显示目录和文件之前需要将所选择的逻辑驱动器的名称传递到显示目录的文件去,所以需要一个特殊的超级链接行HyperLinkColumn,我们将DataNavigateUrlField设置为数据源中要绑定到 HyperLinkColumn 中的超级链接的 URL 的字段,在此即逻辑驱动器名称。然后将DataNavigateUrlFormatString设置为当 URL 数据绑定到数据源中的字段时,此HyperLinkColumn中的超级链接的 URL 的显示格式,即要链接到的下一级处理页面,在此为listdir.aspx?dir={用户点击行的逻辑驱动器名称}




 创建数据源的代码(代码在listdrivers.aspx.cs文件中):
//通过此方法返回一个集合形式的数据视图DataView
ICollection CreateDataSource() {
//定义内存中的数据表DataTable
DataTable dt = new DataTable();
//定义DataTable中的一行数据DataRow
DataRow dr;
/*向DataTable中增加一个列,格式:DataColumn("Column", type)
Column为数据列的名字,type为数据列的数据类型*/
dt.Columns.Add(new DataColumn("ID", typeof(Int32)));
dt.Columns.Add(new DataColumn("drivers", typeof(string)));
dt.Columns.Add(new DataColumn("detail", typeof(string)));
//使用for循环将逻辑驱动器的名称以行的形式添加到数据表DataTable中
for (int i = 0; i < nNumOfDrives; i++) {
//定义新行
dr = dt.NewRow();
//对行中每列进行赋值,注意要与上边定义的DataTable的行相对应
dr[0] = i; //循环生成的序号
dr[1] = achDrives[i].ToString(); //逻辑驱动器的名称
dr[2] = "查看详情";
//向DataTable中添加行
dt.Rows.Add(dr);
}
//根据得到的DataTable生成自定义视图DataView
DataView dv = new DataView(dt);
//返回得到的视图DataView
return dv;
}


  我们通过这个方法得到了一个包含所有我们需要的数据的数据视图DataView,我们只需要在此aspx页的Page_Load方法中将此数据视图绑定到DataGrid上就可以了。

  数据绑定代码(代码在listdrivers.aspx.cs文件中):

/* 设置DataGrid的数据源DataSource为我们从CreateDataSource()方法得到的数据视图DataView */
DriversGrid.DataSource = CreateDataSource();
//将此DataGrid进行数据绑定
DriversGridDataBind();

  通过上边介绍的几种主要方法我们就实现了获取系统信息和显示所有逻辑驱动器名称的功能,并且可以通过相应的链接进入下一个显示目录和文件名的程序listdir.aspx显示该逻辑驱动器下的所有目录和文件。


程序二:显示目录中所有子目录和文件的程序listdir.aspx
  目录下有子目录和文件两种形式,必须分别对待。我们调用此程序本身对子目录进行列表显示,而文件我们需要调用showfile.aspx程序对文件的属性和内容进行显示。并且两者还有不同的删除方法,所以我们在这里设置了两个DataGrid,两个DataTable,两个DataView,分别处理和显示目录和文件。


  显示和处理目录和文件的DataGrid的代码(代码在listdir.aspx文件):

  显示目录或文件的序号和名称的数据列类似于listdrivers.aspx程序中的相应代码,这里就不再重复了。对于子目录和文件分别有各自的处理页面,所以需要导航到两个不同的页面,对于子目录,我们继续使用listdir.aspx程序对其下的子目录和文件进行列表显示:

<asp:HyperLinkColumn DataNavigateUrlField="DirName"
DataNavigateUrlFormatString="listdir.aspx?dir={0}"
DataTextField="DirDetail"
HeaderText="详细信息"
Target="_new"
/>
对于文件,我们使用showfile.aspx程序显示其属性和内容:
<asp:HyperLinkColumn DataNavigateUrlField="FileName"
DataNavigateUrlFormatString="showfile.aspx?file={0}"
DataTextField="FileDetail"
HeaderText="详细信息"
Target="_new"
/>

  在两个DataGrid(DirGrid,FileGrid)中我们分别设置了两个HyperLinkColumn列来导航到不同的处理页面。

  在两个DataGrid中我们都使用了一个删除的按钮列:

<asp:ButtonColumn HeaderText="删除"
Text="删除"
CommandName="Delete"
/>

  由于添加、更新、删除功能列都是DataGrid的默认模板列,所以可以在Vs.net中通过DataGrid的属性生成器自动添加此列。

  获取上一页面所传递来的参数的代码:

  因为在下面产生数据源的方法中需要使用由上一个页面传递过来的参数来确定目录和文件的名称,所以在页面的Page_Load方法里使用了下列代码:

strDir2List = Request.QueryString["dir"];

  字符串strDir2List即传过来的目录名或文件名。

  因为我们使用了两个DateGrid,就需要进行两次数据绑定,就有两个不同的生成数据源的方法。

  生成目录数据网格(DirGrid)数据源的方法:

//通过此方法返回一个集合形式的数据视图DataView,用来初始化子目录的DataGrid
ICollection CreateDataSourceDir() {
dtDir = new DataTable();
DataRow dr;
//向DataTable中添加新的数据列,共四列
dtDir.Columns.Add(new DataColumn("DirID", typeof(Int32)));
dtDir.Columns.Add(new DataColumn("DirName", typeof(string)));
dtDir.Columns.Add(new DataColumn("DelDir", typeof(string)));
dtDir.Columns.Add(new DataColumn("DirDetail", typeof(string)));
//根据传入的参数(目录名)得到此目录下所有子目录名的字符串数组
string [] DirEntries = Directory.GetDirectories(strDir2List);
//使用foreach循环可以对未知长度的数组进行遍历循环
foreach(string DirName in DirEntries){
dr = dtDir.NewRow();
dr[0] = i;//序号
dr[1] = DirName;//文件夹名称
dr[3] = "删除";
dr[3] = "查看详情";
dtDir.Rows.Add(dr);
i++;
}
DataView dvDir = new DataView(dtDir);
//返回得到的数据视图
return dvDir;
}
生成文件数据网格(FileGrid)数据源的方法:
//通过此方法返回一个集合形式的数据视图DataView,用来初始化文件的DataGrid
ICollection CreateDataSourceFile() {
dtFile = new DataTable();
DataRow dr;
dtFile.Columns.Add(new DataColumn("FileID", typeof(Int32)));
dtFile.Columns.Add(new DataColumn("FileName", typeof(string)));
dtFile.Columns.Add(new DataColumn("DelFile", typeof(string)));
dtFile.Columns.Add(new DataColumn("FileDetail", typeof(string)));
//根据传入的参数(目录名)得到此目录下所有文件名的字符串数组
string [] FileEntries = Directory.GetFiles(strDir2List);
foreach(string FileName in FileEntries){
dr = dtFile.NewRow();
dr[0] = i;
dr[1] = FileName;
dr[2] = "删除";
dr[3] = "查看详情";
dtFile.Rows.Add(dr);
i++;
}
dvFile = new DataView(dtFile);
return dvFile;
}

  我们编程实现了两个DataSource只需在页面的Page_Load方法里对两个DataGrid进行数据绑定即可将得到的DataTable中的数据显示在aspx页面的DataGrid上。

  数据绑定代码:

//对子目录数据列表DirGrid进行数据源定义和数据绑定
DirGrid.DataSource = CreateDataSourceDir();
DirGrid.DataBind();
//对文件数据列表FileGrid进行数据源定义和数据绑定
FileGridDataSource = CreateDataSourceFile();
FileGrid.DataBind();

  通过我们上边介绍的主要方法,我们实现了对某个逻辑驱动器或目录中的所有子目录和文件进行了列表显示,并且可以根据显示结果更进一步的浏览子目录或者查看文件的属性和内容提要。浏览子目录仍然是通过listdir.aspx这个程序,没有任何子目录级别要求,没有目录深度限制。

删除子目录和文件的主要方法和代码:
  在删除子目录时,我们需要用到Directory.Delete (string,bool)方法,此方法有两种:


  1.public static void Delete(string);

  从指定路径删除空目录。

  2.public static void Delete(string, boolean);

  删除指定的目录并(如果指示)删除该目录中的任何子目录,将boolean设置为true的话,则删除此目录下的所有子目录和文件,否则将boolean设置为false。

  在这里我们使用了第二种方法,如果选择删除的话,将删除此目录下的所有子目录和文件。

  注意:Directory 类的所有方法都是静态的,因而无需具有目录Directory的实例就可被调用。

/*实现删除子目录的方法,此方法为VS.NET自动添加,注意DataGridCommandEventArgs e为DirGrid中 CommandName="Delete" 的ButtonColumn的事件,通过此事件,我们可以得到是那一行的ButtonColumn按钮列被点击,进而确定我们需要删除的子目录的名称*/
private void DirGrid_DeleteCommand(object source, System.Web.UI.WebControls.DataGridCommandEventArgs e){
/*定义一个单元格,e.Item为此事件所发生行的所有项目,e.Item.Cells[1]为整个行的第二个单元格的内容,在此DataGrid中为子目录的名称
*/
TableCell ItemCell = e.Item.Cells[1];
//得到此子目录的名称的字符串
string item = ItemCell.Text;
//删除此子目录
Directory.Delete(item,true);
//删除后进行数据绑定以更新数据列表
DirGrid.DataBind();
}

  在删除文件时,我们需要用到File.Delete(string path);

  注意:File 类的所有方法都是静态的,因而无需具有目录的实例就可被调用。

private void FileGrid_DeleteCommand(object source,
System.Web.UI.WebControls.DataGridCommandEventArgs e) {
TableCell ItemCell = e.Item.Cells[1];
//得到此文件名称的字符串
string item = ItemCell.Text;
//删除此文件
File.Delete(item);
//删除后进行数据绑定以更新数据列表
DirGrid.DataBind();
}

  通过上边的主要方法我们在页面上实现了一个删除某一个子目录或者文件的功能,此功能在测试时需要慎重使用,一旦删除无法通过常规方法恢复。其他如目录或文件改名、修改内容等方法都可以在此程序基础上添加相应的功能,实现方法也很简单。各位爱好者可以通过添加相应功能,使之扩充为一个基于Web的服务器文件管理系统。我们也可以由此看到这个程序的危害性,一个没有对此安全隐患采取防范措施的服务器的文件系统就都暴露在了使用此程序的用户面前。




程序三:显示文件属性和内容的程序showfile.aspx
  在显示属性和内容时需要用到的两个主要的类:
  System.IO.FileInfo:提供创建、复制、删除、移动和打开文件的实例方法,并且帮助创建 FileStream 对象。
  System.IO.StreamReader:实现一个 TextReader,使其以一种特定的编码从字节流中读取字符。除非另外指定,StreamReader的默认编码为 UTF-8,而不是当前系统的 ANSI 代码页。UTF-8 可以正确处理 Unicode 字符并在操作系统的本地化版本上提供一致的结果。


  Showfile.aspx页面主要代码:

<asp:Label id="FileDetail" runat="server"/>

  我们只是将文件的属性信息和部分内容显示在此Label上。所以没有其他复杂的代码。

  获取文件信息和内容的主要代码都在Page_Load方法中(代码在showfile.aspx.cs文件中):

//接收传入的参数,确定需要操作的文件名称
strFile2Show = Request.QueryString["file"];
//根据文件名实例化一个FileInfo对象
FileInfo fi = new FileInfo(strFile2Show);
FileDetail.Text = "文件名:";
FileDetail.Text += strFile2Show+"<br>";
FileDetail.Text += "文件大小";
//获得文件的大小,然后变换单位为KB
FileDetail.Text += (fi.Length/1024).ToString()+"K<br>";
FileDetail.Text += "创建文件时间:";
//获得文件的创建日期
FileDetail.Text += fi.CreationTime.ToString();
FileDetail.Text += "上次访问时间:";
//获得文件的上次访问日期
FileDetail.Text += fi.LastAccessTime.ToString()+"<br>";
FileDetail.Text += "上次写入时间:";
//获得文件的上次写入日期
FileDetail.Text += fi.LastWriteTime.ToString()+"<br>";
//实例化一个StreamReader对象,用于读取此FileInfo的内容
StreamReader FileReader = fi.OpenText();
//定义一个长度为1000的字符数组作为缓冲区
char[] theBuffer = new char[1000];
/*ReadBlock方法:从当前流中读取最大数量的字符并从索引开始将该数据写入缓冲区。
参数:
char[] buffer:方法返回时,包含指定的字符数组
int index:buffer 中开始写入的位置
int count:最多读取的字符数
*/
int nRead = FileReader.ReadBlock(theBuffer,0,1000);
FileDetail.Text += new String(theBuffer,0,nRead);
//关闭此 StreamReader 并释放与之关联的所有系统资源
FileReader.Close();

  到目前为止,我们实现了一个简单的web页面的服务器磁盘管理应用程序,可以查看、删除目录和文件。如果需要修改文件、新建文件和文件夹等功能,只需稍作修改,添加上相应的代码就可以。由于我们只是通过这个程序说明服务器中存在的安全隐患,所以在这里就不再实现这些功能了。

  通过这三个简单的程序,我想大家已经能够清楚的认识到这一漏洞的危害性了,如果我们不加防范的话,其他用户的程序就能被恶意使用此功能的用户查看、删除,服务器的系统日志、系统文件也没有任何安全可言了。



janlay

职务:管理员
等级:7
金币:28.0
发贴:7244
#22003/9/10 0:53:33
对于IIS的Web服务器来说,所有的操作都是基于站点的匿名用户所具有的权限来决定的(反映在程序运行上就是该程序以何种身份来运行,这一点很重要),另一个重要的安全设定在于NTFS文件系统上的权限分配(对于默认安装的windows系统来说,是不设防的)。上述问题基于上是针对一个不设防的系统来说的(事实上有些根本不能对系统构成任何威胁),只要把安全做好,已知潜在问题是可以解决了