如何查找网页漏洞
网页的漏洞主要有注入漏洞、跨站漏洞、旁注漏洞、上传漏洞、暴库漏洞和程序漏洞等等,
如何查找网页漏洞
。针对这么多的漏洞威胁,网站管理员要对自己的网站进行安全 检测,然后进行安全设置或者代码改写。那如何来检测网站存在的漏洞呢?其实,很多攻击者都是通过一些 工具来检测网站的漏洞然后实施攻击的。那么网站的 管理员就可以利用这些工具对网站进行安全检测,看有没有上述漏洞,笔者就不一一演示了。下面就列举一个当前比较流行的eWEBEditor在线HTML编 辑器上传漏洞做个演示和分析。1、网站入侵分析
eWEBEditor是一个在线的HTML编辑器,很多网站都集成这个编辑器,以方便发布信息。低版本的eWEBEditor在线HTML编辑器,存在者上传漏洞, 利用这点得到WEBSHELL(网页管理权限)后,修改了网站,进行了挂马操作。
其原理是:eWEBEditor的默认管理员登录页面没有更改,而且默认的用户名和密码都没有更改。攻击者登陆eWEBEditor后,添加一种新的样式类型,然后设置上传文件的类型,比如加入asp文件类型,就可以上传一个网页木马了。
2、判断分析网页漏洞
(1)攻击者判断网站是否采用了eWEBEditor的方法一般都是通过浏览网站查看相关的页面或者通过搜索引擎搜索类似”ewebeditor.asp?id=”语句,只要类似的语句存在,就能判断网站确实使用了WEB编辑器。
(2)eWEBEditor编辑器可能被 利用的安全漏洞:
a.管理员未对数据库的路径和名称进行修改,导致 可以利用编辑器默认路径直接对网站数据库进行下载。
b.管理员未对编辑器的后台管理路径进行修改导致 可以通过数据库获得的用户名和密码进行登陆或者直接输入默认的用户名和密码,直接进入编辑器的`后台。
c.该WEB编辑器上传程序存在安全漏洞。
四、网页木马的防御和清除
1、防御网页木马,服务器设置非常重要,反注册、卸载危险组件:(网页后门木马调用的组件)
(1)卸载wscript.shell对象,在cmd先或者直接运行:
regsvr32 /u %windir%system32WSHom.Ocx
(2)卸载FSO对象,在cmd下或者直接运行:
regsvr32.exe /u %windir%system32scrrun.dll
(3)卸载stream对象,在cmd下或者直接运行:
regsvr32.exe /u /s “C:Program FilesCommon FilesSystemadomsado15.dll”
注:如果想恢复的话只需重新注册即可,例如:regsvr32 %windir%system32WSHom.Ocx
2、清理网页挂马
(1)利用雷客图ASP站长安全助手查找所有在2008-3.1日-2008.3.5日之间所有修改过的文件里是否有iframe语句和http://www.xxx.com/a.htm关键词,进行手工清理,
资料共享平台
《如何查找网页漏洞》(https://www.unjs.com)。(2)也可利用雷客图ASP站长安全助手批量删除网马。
(3)检测JS文件,在2008-3.1日-2008.3.5日之间增加的JS文件全部删除。(图9)
从分析报告可以看到网站的admin路径下发现lb.asp网页木马,经分析为老兵的网页木马。(加密后依旧能通过特征码分辨,推荐网站管理员使用雷客ASP站长安全助手,经常检测网站是否被非法修改。)
提示:雷客图ASP站长安全助手可以帮助站长分析网站的安全状况,但是一定要更改它的默认用户名和密码。
3、解决eWEBEditor编辑器安全隐患
由于网站在开发时集成了eWEBEditor编辑器,删除或者替换容易导致其他问题的出现,推荐按如下方案解决:
(1)修改该编辑器的默认数据库路径和数据库名,防止被 非法下载。
默认登录路径admin_login.asp
默认数据库db/ewebeditor.mdb
(2)修改编辑器后台登录路径和默认的登录用户名和密码,防止 进入管理界面。
默认帐号admin
默认密码admin或者admin888(图10)
(3)对Upload.asp语句进行修改,防止 利用其上传ASP木马从而获得WEB权限。
对上传语句现在进行修改:
将原来的:sAllowExt=Replace(UCase(sAllowExt),”ASP”,”")
修改为:
sAllowExt=Replace(UCase(sAllowExt),”ASP”,”"),”CER”,”"),”ASA”,”"),”CDX”,”"),”HTR”,”")
增加上传对cer、asa、cdx、htr文件类型的限制,因为这些类型的文件都是可以执行的文件,可以被攻击者利用进行对网站及其服务器进行危险操作的文件类型。