另壹方面,電子商務技術正在日益普及開來,其復雜性有增無減。基於Web的應用程序正在與基本的操作系統和後端數據庫更加緊密地集成在壹起。遺憾的是,人們在基於Web的基礎設施安全性方面所做的工作還很不夠。Web服務器和Web應用程序中的弱點被發現的速度為何這麽快呢?
有很多因素促成了這種Web黑客活動的快速增加。其中最主要的原因是防火墻允許所有的Web通信都可以進出網絡,而防火墻無法防止對Web服務器程序及其組件或Web應用程序的攻擊。第二個原因是,Web服務器和基於Web的應用程序有時是在“功能第壹,安全其次”的思想指導下開發出來的。
當您的Web服務器面臨巨大威脅時,怎樣保障它們的安全呢?這就需要您不斷了解新信息,新情況,每天跟蹤您所用服務器的有關網站,閱讀相關新聞並向它進行咨詢。為了讓妳著手這方面的工作,下面介紹黑客對NT系統的四種常用攻擊手段,同時介紹如何防止這類攻擊。
Microsoft IIS ism.dll緩沖區溢出受影響的服務器:運行IIS 4.0並帶有“Service Pack 3/4/5”的Windows NT服務器 MicrosoftIIS緩沖區溢出這壹安全弱點是Web服務器無時不有的重大缺陷之壹。該弱點被稱為IIS eEye,這個名稱來自發現此問題的壹個小組。在實施緩沖區溢出攻擊時,黑客向目標程序或服務輸入超出程序處理能力的數據,導致程序突然終止。另外,還可以通過設置,在執行中的程序終止運行前,用輸入的內容來覆蓋此程序的某些部分,這樣就可以在服務器的安全權限環境下執行任意黑客命令。
eEye發現,IIS用來解釋HTR文件的解釋程序是ism.dll,它對緩沖區溢出攻擊的抵抗力十分脆弱。如果攻擊者將壹個以.htr結尾的超長文件名(大約3,000個字符,或更多)傳遞給IIS,那麽輸入值將在ism.dll中造成輸入緩沖區溢出,並導致IIS崩潰。如果攻擊者輸入的不是壹串字母而是可執行代碼(通常稱為“雞蛋”或“外殼代碼”),那麽在IIS終止之前將執行該代碼。由eEye小組發現的這壹攻擊方法
包括三個步驟:
1.創建壹個用於偵聽任意TCP端口上連接活動的程序。壹旦接收到連接信號,該程序將執行壹個Windows命令外殼程序(cmd.exe),並將該外殼與連接綁定在壹起。這個程序是經過修改的Netcat。Netcat是壹個流行的網絡連接實用程序,其源代碼可以免費獲得。
2.在IIS的ism.dll中制造緩沖區溢出,並使IIS從外部Web站點下載偵聽程序(由步驟1產生)。
3.執行剛下載的程序(由步驟2產生),該程序將等待傳入的連接並使攻擊者進入Windows命令外殼程序中。
由於緩沖區溢出導致IIS在崩潰之前轉而運行Windows命令外殼,所以該外殼程序將在IIS的安全權限背景下運行,而該安全權限背景等價於NT Administrator權限。這樣,攻擊者要做的只是與被攻擊的IIS服務器的偵聽端口建立連接,然後等著出現c:>提示就萬事大吉了。現在,攻擊者擁有對整個NT服務器的管理權限,可以做任何事,比如,添加新用戶、修改服務器的內容、格式化驅動器,甚至將該服務器用作攻擊其它系統的踏腳石。
運行IIS 4.0並帶有“Service Pack 3/4/5”的Windows NT服務器容易受到此類攻擊。Microsoft已經發布了對該弱點的修補程序。Windows NT Service Pack 6也已經修補了該問題。