Microsofte Internet Information Server
( IIS)
نويسنده : امير حسين شريفي
يكي از پر استفاده ترين محيط هاي كاري براي بسياري از سرورهاي وب در چند سال اخير IIS
بوده است . به همين دليل هميشه يك هدف عالي براي نفوذگران وب مي باشد . اين سرور
سوراخهاي امنيتي ب سيار زيادي داشت و دارد و همين امر باعث شده است بسيار مورد حمله
نفوذگران وب قرار گيرد از اين گونه ضعفهاي امنيتي مي توان ، ضعفهاي امنيتي آشكار سازي
آشكار سازي اطلاعات به وسيله اسكريپتهاي ، ::$DATA كد اصلي برنامه ها شبيه
اجراي دستورات سيستمي از طريق تزريق كردن دستورات در پرس و ، showcode.asp
را نام برد . اگر چه IIS و حملات سرريزي بافر روي ( MDAC / RDS ) جوهاي پليگاه داده
اين نوع ضعفهاي امنيتي توسط پچ هايي كه ارائه شده اند و همچنين در نسخه هاي جديد رفع
شده اند البته بايد گفت كه محصولات جديد ارائه شده با نظم بهتر ارائه شده اند.
را مي توان در دو گروه زير دسته بندي كرد: IIS بيشتر ضعفهاي امنيتي
IIS - حمله عليه مولفه هاي
IIS - حمله عليه خود
در اين مبحث ، هر دو دسته را تا آنجا كه بتوانيم توضيح مي دهيم و سعي مي كنيم با بيان
مثالهاي متنوعي آنها را بهتر بيان كنيم. البته بيشترين حملات در دسته اول مي گنجد .
IIS حمله عليه مولفه هاي
تكيه ( DLL ) به صورت خيلي گسترده اي روي مجموعه اي از كتابخانه هاي ديناميكي IIS
كرده است كه اين مجموعه با يكديگر تعامل برقرار مي كنند تا پروسه هاي اصلي سيستم را ،
پاسخ دهند و به همي ن وسيله توانايي هاي زيادي را براي سيستم ايجاد كرده ، inetinfo.exe
مي تواند DLL اند. اگر بخواهيد به صورت عملي مجسم كنيد ، به صورت ساده اي اين فايلهاي
درخواست شود. براي مثال درخواست يك فايل IIS توسط يك فايل با يك پسوند اختصاصي از
IIS روشهاي نفوذ در سرورهاي وب
2 © www.WebSecurityMgz.com
طراحي شده DLL البته اگر به صورت حقيق ي اين فايل موجود باشد ) ، از ) .prniter با پسوند
براي درخواستهاي چاپ بر پايه وب يك دستگيره 1 درخواست مي كند.
از PHP و ColdFusion 2 ، نامگذاري شده است . پيش پردازنده هائی نظير ISAPI اين معماري
) ASP ديگر برای انجام عمليات مرتبط با ISAPI از فيلترهای ، IIS. استفاده می نمايند ISAPI
و اشتراک چاپ مبتنی بر وب ، ( Server Side Includes) SSI ، ( Active Server Pages
مستلزم عمليات خاص و جداگانه ای برای ، ISAPI استفاده می نمايد تعداد زيادی از فيلترهای
بر روس سيستم مستقر (نصب) IIS نصب نبوده و عملا " بصورت پيش فرض و در زمان نصب
می گردند همين امر باعث شده بود كه نفوذگران بسياري به وسيله آلوده كردن ورودي هاي با
كد هاي غير مجاز از اين نوع فايلها سوءاستفاده كنند . آنها خيلي ساده از سرور وب ، توسط
هايي كه به صورت دستي تنظيم شده بود ، يك فايل را درخواست مي كردند و ورودي URL
به وسيله همان درخواست ها تحويل مي دادند . تنايج اينگونه ISAPI هاي DLL ها را به
فجيع بود ! و در اين سالهاي اخير به صورت IIS درخواستها براي بسياري از سرورهاي
نمونه هائی ، Code Red و 2 Code red. متمادي از اين طريق، مورد حمله قرار مي گرفته اند
از برنامه های مخرب می باشند که از ضعف فوق در جهت پيشبرد اهداف خود استفاده نموده
پس از نصب اوليه ، از ديگر مواردی است که IIS اند . عدم بهنگام سازی و نگهداری مناسب
ntdll.dll WebDAV زمينه تهاجم برای مهاجمان را فراهم می آورد .مثلا" نقاط آسيب پذير
غيرفعال نمودن سرويس ) را فراهم مي كند و ) DoS امکان حملات از نوع ، IIS در 5.0
مهاجمان در ادامه قادر به ايجاد و اجرای اسکريپت های مورد نظر خود بر روی سرويس دهنده
می گردند . در مواردی ديگر و با توجه به نقاط آسيب پذير موجود ، مها جمان قادر به اجرای
دستورات دلخواه خود بر روی سرويس دهنده می باشند ( درخواست دقيق و ماهرانه آدرس
. ( URL های
نصب می گردند ( نظير IIS امکانات و پتانسيل هائی که در ادامه و با توجه به ضرورت بر روی
نيز می تواند زمينه بروز نقاط آسيب پذير ج ديدی را فراهم نمايد ( PHP و ColdFusion
.اينگونه نقاط آسيب پذير، می تواند بدليل عدم پيکربندی صحيح و يا وجود ضعف و اشکال
نيز سرايت می نمايد ( توارث مشکلات و IIS امنيتی در محصول نصب شده ای باشد که به
ضعف های امنيتی از يک محصول به محصول ديگر) .
مثالهاي ابتدايي در زير آورده شد ه است و توضيح مختصري درباره آنها بيان شده است . البته
اينها جزء مثالهاي ابتدايي و اوليه بودند كه در سالهاي گذشته از آنها سوءاستفاده مي كرده اند .
داشته باشيم. ISAPI اما اجازه بدهيد نظري واقعي تر به اينگونه حملات از طريق
1 - Handel
2 - Internet Server Application Programing Interface
IIS روشهاي نفوذ در سرورهاي وب
3 © www.WebSecurityMgz.com
ISAPI DLL سرريزي بافر در
انجام مي شود ، حملات سرريزي بافر مي باشد .در ISAPI يكي از بيشتر ين حملاتي كه روي
توسط كرمهاي IIS اواخر سال 2001 و اوايل سال 2002 بسياري از سرورهاي وب
ويران شدند . هر دوي اين حملات بر پايه سرريزي بافر پياده سازي شده Nimda و CodeRed
هاي منتشر شده روي وب موجود بود ISAPI DLL است كه بر اساس سوراخ امنيتي كه در
آنها را آلوده مي كرده اند .در آوريل سال 2002 يكي ديگر از ضعفهاي سرريزي بافر روي
منتشر شد . ما در اين بخش از يكي از سوراخهاي ASP مربوط به صفحات ISAPI DLL
امنيتي مثالي بيان مي كنيم.
اي ISAPI كشف يك سرريزي بافر را درون فيلترها eEye Digital Security ، در مي 2001
را به دست مي گيرند ، اعلان كرد . اين فايلها ( .printer كه فايلهاي
را پشتيباني مي ( IPP ) پروتكل چاپ اينترنت 3 ( C:\WinNT\System32\msw3prt.dll
مي توانست جنبه هاي مختلف چاپ از طريق چاپگرهاي شبكه را پشتيباني كند. IPP . كردند
اين سوراخ امنيتي وقتي به وجود مي آيد كه يك بافر تقريبا 420 بايتي توسط يك سرآمد
فرستاده شود . اگر در مثال زير در .printer ISAPI براي يك درخواست HTTP Host:
420 كاراكتر قرار دهيم اين اتفاق خواهد افتاد. [buffer] قسمت
GET /NUL.printer HTTP / 1.0
Host: [buffer]
بسته مي شود . اگر چه ويندوز IIS اين درخواست ساده ، باعث مي شود كه بافر سرريز شود و
و باعث مي شود كه ( Inetinfo.exe ) را دوباره اجرا مي كند IIS 2000 به صورت اتوماتيك
سرويسهاي وب را به حالتهاي اوليه و پيش فرض راه اندازي كند . البته چنين ضعف امنيتي IIS
هيچ اثر محسوسي ندارد ( به جز اينكه وقتي به صورت دنباله داري ادامه پيدا كند باعث نپذيرفتن
دوباره راه اندازي مي شود ، باعث مي شود كه IIS سرويسهاي اصلي شود ) . هنگاميكه
رخ دهد و سرور را در حالت نامعلومي قرار دهد! IIS خطاهاي تصادفي در
ISAPI DLL در ( Source Disclosure ) سوراخ امنيتي افشا سازي منابع
نمي .printer به برجستگي و روشني سرريزي بافر ISAPI DLL همه سوراخهاي امنيتي
باشد. در اين قسمت مثالي درباره ضعف امنيتي افشا سازي منابع خواهيم آورد كه توسط
وجود داشته است . افشا سازي منابع يك رده ISAPI DLL باگي به وجود آمده است كه در
3 - Internet Printing Protocol
IIS روشهاي نفوذ در سرورهاي وب
4 © www.WebSecurityMgz.com
بزرگ از مباحثي مي باشد كه به كاربران اطلاعاتي را نمايش مي دهد كه در حالت عادي ،
مجوزي براي نمايش آنها به آن كاربران وجود ندارد.
4 و 5 وجود دارد . وقتي IIS مثال خوبي از افشا سازي كد مي باشد كه در +.htr ضعف امنيتي
4 و 5 ، قطعات داده هاي منابع فايل را IIS ، را به يك درخواست فايل فعال مي افزاييم +.htr
اجرا شود IIS سريعتر از اجرا كردن آن سرويس مي دهد ! يعني قبل از اينكه درخواست توسط
كه ISAPI DLL ، به صورت متني ساده نمايش داده مي شود . اين مثالي مي باشد از يك
فايل را به .htr ناميده مي شود و درخواست فوق را به غلط تفسير مي كند . پسوند ISM.DLL
نگاشت مي كند و باعث مي شود اين فايل يك منبع غلط را تفسير كند در اينجا يك ISM.DLL
از اين سوراخ امنيتي بهره Netcat مي باشد كه شما مي توانيد با استفاده از htr.txt فايل به نام
به درخواست شما بستگي دارد. +.htr برداري كنيد. توجه كنيد كه
GET /site1/global.asa+.htr HTTP/1.0
[CRLF]
[CRLF]
با يك سرور آسيب پذير برقرار شده است شما مي netcat با استفاده از ارتباطي كه به وسيله
توانيد نتايج را مشاهده كنيد:
C:\> nc –vv www.victim.com 80 < htr.txt
www.victim.com [10.0.0.10] 80 (http) open
HTTP/1.0 200 OK
Server: Microsoft-IIS/5.0
Date: Thu , 25 Jan 2001 00:50:17 GMT
(“Profiles_ConnectString”)
“DSN=profile; UID=company_user; password=secret”
(“DB_ConnectString”) = “DSN=db; UID=company_user; password=secret”
(“PHFConectionString”) = “DSN=phf; UID=sa; PWD=”
(“SiteSearchConnectionString”) = “DSN=SiteSearch; UID=company_user; password=simple”
(“connectionString”) = “DSN=company; UID=company_user; password=guessme”
(“eMail_pwd”) = “sendaemon”
(“LDAPServer”) = “LDAP://directory.company.com:389”
(“LDAPUserId”) = “cn=Directory Admin”
(“LDAPPwd”) = “slapdme”
كه به صورت معمول براي كاربران نمايش داده ، global.asa همانطور كه مشاهده كرديد فايل
به دنباله آن باعث نمايش دادن آن شده است . شما مي توانيد +.htr نمي شود ، با ا فزودن
قرار دارد را مشاهده كنيد . حال global.asa اطلاعات بسيار سري از كلمات رمزي كه در فايل
متوجه شديد كه با يك اشتباهي كه تيم توليد كننده سرور مرتكب شده است چه فاجعه اي رخ
داده است!
IIS روشهاي نفوذ در سرورهاي وب
5 © www.WebSecurityMgz.com
ISAPI DLL راههاي مقابله با سوراخهاي امنيتي
ISAPI DLL ما در اينجا چندين روش مختلف براي شناسايي و پيشگيري از آسيب پذيريهاي
بيان مي كنيم و درباره همه آنها مفصل بحث خواهيم كرد.
حذف نگاشت كننده هاي اضافي بي استفاده
اگر بخواهيم به صورت ريشه اي بيان كنيم ، علت اصلي وجو د سوراخهاي امنيتي سرريزي بافر
هايي مي باشد كه بايد به در برنامه ISAPI DLL در +.htr و افشا سازي منابع .Printer در
كاربردي ما غير فعال باشند و عدم حذف آنها باعث مي شود كه اطلاعات ورودي روي آنها
نگاشت شود و مشكلات عديده فوق ظاهر گردند . براي حذف آنها بايد به صورت پايه هاي
اي را كه به آنها مربوط مي شوند را حذف كرد . همين امر باعث مي شود كه DLL فايلهاي
به حافظه بار نشوند و برنامه كاربردي ما را از حملات IIS همراه با اجراي DLL فايلهاي
احتمالي محافظت مي كند.
مي ISAPI DLL با نگاشتهايي كه د ر فايلهاي IIS به علت اينكه بيشتر مباحث امنيتي »
شود ، ارتباط دارد ، اين روش محافظت ، يكي از مهمترين روشهاي مقابله با اينگونه حملات
« . مي باشد
DLL ها بر اساس پسوند فايل هايي كه باعث نگاشت بر روي اين DLL براي غير فعال كردن
اي كه شما آن را مديريت مي كنيد، ك ليك راست كنيد و سپس Computer مي شوند ، روي
را انتخاب كنيد ، سپس موارد زير را مشاهده مي كنيد: Properties
• Master Properties
• WWW Service
• Edit
• Properties of the Default Web Site
• Home Directory
• Application Setting
• Configuration
• App Mappings
IIS روشهاي نفوذ در سرورهاي وب
6 © www.WebSecurityMgz.com
روي آن نگاشت مي شود را .printer كه فايله اي با پسوند msw3prt.dll مانند شكل زير ، فايل
حذف كنيد.
هاي ديگر مربوط ISAPI DLL وجود دارد كه همگي به ISS البته آسيب پذيريهاي زيادي در
هايي كه به آنها نگاشت مي شود DLL مي شوند كه در جدول زير بعضي از آنها را به همراه
بيان كرده ايم.
آسيب پذيري پسوند اگر نياز نداريد!
Active Server Pages
functionality .asp Buffer Overflows, MS02-018
Web-based Password reset .htr +.htr source disclosure , MS01-004
Internet Database Connector .idc
آشكار كردن مسير هاي دايركتوري
Q وب ، 193689
Server-side include .stm , .shtm , shtml سرريزي بافر سيستم دور
MS01-044
Internet Printer .printer ، سرريزي بافر سيستم راه دور
Ms01-023
Index Server .ida , idq ، سرريزي بافر سيستم راه دور
Ms01-033
FrontPage Server Extension
RAD support
Uninstall FPSE
RAD Support
يا سرريزي ب افر سيستم Remote IUSR
MS01-035
IIS روشهاي نفوذ در سرورهاي وب
7 © www.WebSecurityMgz.com
ميكروسافت Hotfix و Pach نگهداري به وسيله نصب سرويسها
يك راه حل ISAPI DLL درست است كه حذف پتانسيل هاي آسيب پذير در نگاشت كننده هاي
مي باشد ولي راههاي مختلف ديگري نيز براي رفع اينگونه ISAPI DLL كامل براي مشكلات
هايي استفاده كنيد كه شركت Patch مشكلات وجود دارد . از جمله اينكه شما مي توانيد از
ميكروسافت براي رفع اينگونه مشكلات آماده كرده است . ابلاغيه هاي امنيتي ميكروسافت 4
به
به وجود آمده است را گزارش كرده است( ISAPI DLL صورت مداوم آسيب پذيريهايي كه در
كه نشان دهنده 26 امين MS01- آنها به وسيله برچسب هايي طبقه بندي شده اند مانند : 026
مورد نظر را Patch ابلاغيه سال 2001 مي باشد ) در هر كدام از اين ابلاغيه هاي شما مي توانيد
براي آن آسيب پذيري پيدا كنيد.
هاي جديد، ميكروسافت چك Patch شما با IIS البته براي سهولت در امر به روز رساني سرور
تمامي زير شبكه ها Hfnetchk . را منتشر كرده است ( hfnetchk.exe ) شبكه 5 Hotfix كننده
را براي هر سيستم ارائه مي دهد . Hotfix و سطح Service Pack را پويش مي كند و گزارش
هاي Patch شروع به پويش بكند اطلاعات خود را درباره آخرين hfnetchk البته قبل از اينكه
اي كه از XML گزارش داده شده تو سط ميكروسافت ، به روز مي كند و اين كار را به وسيله
پايگاه داده ميكروسافت دريافت كرده است ، انجام مي دهد.
بهمراه PHP و يا PerlIIS، CouldDusion در صورتيکه از برنامه های اضافه شده ای نظير
استفاده می گردد ، لازم است به سايت های عرضه کنندگان هر يک از محصولات فوق IIS
ارائه شده در رابطه با هر محصول آگاه و آنان را با patch مراجعه كنيد و نسبت به آخرين
و Update Windows توجه به توصيه های انجام شده بر روی سيستم نصب نم اييد . امکان
های لازم و Patch ساير سرويس های بهنگام سازی ارائه شده توسط ميکروسافت ، شامل
مايکروسافت نبوده و لازم IIS مرتبط با محصولات اضافه شده ساير شرکت ها در برنامه
را خود IIS است مديران سيستم بهنگام سازی محصولات اضافه شده ( غير ميکروسافت ) در
راسا" انجام دهند .
URLScan و IISLochdown استفاده از
را منتشر كرد ISSLockdown Wizard در اواخر سال 2001 ، ميكروسافت ابزاري به نا م
بر پايه IIS و همانطور كه از نامش مشخص است ، يك ابزار خودكار مي باشد براي پيكربندي
می توان تغييرات ، Expert" " و يا " Custom " مسايل امنيتي آن . با اجرای برنامه فوق در حالت
4 - Microsoft Security Bulletine
5 - Network Hotfix Checker
IIS روشهاي نفوذ در سرورهاي وب
8 © www.WebSecurityMgz.com
مشخص نمود . بدين ترتيب ، امکان اعمال تغييرات زير IIS مورد نظر خود را در ارتباط با نصب
فراهم می گردد : ، IIS در رابطه با نصب
را غير فعال كنيد . ( ISS • سرويسهاي اينترنت : اجازه مي دهد كليه سرويس هاي
البته بسته نقشي كه سرويس دهنده شما دارد. ( NNTP و SMTP ، FTP ، WWW
مگر اينکه محيط مورد نظر شما به ) WebDAV • مسايل امنيتي اضافي : غير فعال نمودن
وجود آن برای نشر محتوی وب ، نياز داشته باشد ) و حذف نمونه برنامه های ارائه شده
و همچنين منع سرويس دهنده وب از اجراء دستورات سيستمی متداول که عموما " IIS بهمراه
. ( tftp.exe و يا cmd.exe توسط مهاجمان استفاده می گردد( نظير
idq . ،htr : های غير ضروری ( نظير ISAPI extensions غير فعال نمودن : Script Maps •
( . printer. ، ism. ,
و نپذيرفتن آنها در IIS ابزاري براي فيلتر نمودن درخواستهاي داده شده به : UrlScan •
صورتي كه آنها از مشخصات خاصي پيروي مي كردند!
مي باشد ، البته IIS نمونه هاي بالا يك ليست تقريبا خوب ي از راههاي پيكربندي مخصوص
ها هيچ Hotfix و Service Pack درباره نصب IISLockdown . بعضي مسايل از قلم افتاده است
كاري انجام نمي دهد ، همچنين هيچ محافظت و عملكردي درباره جنبه هاي ديگر سيستم عامل
IISLockdown . ويندوز ندارد و يا هيچ ديوار آتشي در جلو سرويس دهده وب ما ايجاد نمي كند
يك ابزار مختصر و ساده مي باشد و نمي توان به طور كامل روي آن تكيه كرد و از جنبه هاي
ديگر غافل شد.
به صورتي دستي پيكر بندي مي كند ، يكي از آنها خيلي IISLockdown از ميان چيزهايي كه
! URLScan، نمايان است
) IISLockdown مي تواند به صورت جداگانه اي از روي نصب كننده URLScan البته
نصب شود. شما مي توانيد با دستور زير اين كار را انجام دهيد: ( iislock.exe
C:\> iislock.exe /q /c /t : c:\lockdown_files
مي باشد كه به IISLockdown Wizard از طريق URLScan البته روش ديگر براي نصب
صورت خودكار مي تواند نصب شود.
مي باشد كه بايد در همان URLScan.ini و URLScan.dll شامل دو فايل URLScan
قرار IIS مي باشد كه بايد جلو ISAPI يك فيلتر URLScan.dll . دايركتوري نصب ، قرار گيرد
درخواستها را دريافت كند ، بتواند آنها را IIS گيرد و مانند يك حائل عمل كند و قبل از اينكه
IIS روشهاي نفوذ در سرورهاي وب
9 © www.WebSecurityMgz.com
يك فايل پيكربندي مي باشد و تصميم مي گيرد كه چه نوع URLScan.ini تحليل كند و
پذيرفته شود . درخواست هاي پذيرفته URLScan ISAPI نبايد توسط HTTP درخواستهاي
در همان دايركتوري نصب ذخيره مي شود . (البته فايل URLScan.log نشده در يك فايل به نام
براي URLScan ( ذخيره شود URLScan.MMDDYY.log هاي ثبت گزارش ممكن است به نام
را مي فرستد. HTTP 404 Object not found درخواستهاي كه رد مي كند پاسخ
اي را كه بر پايه موارد زير مي HTTP تمامي درخواستهاي URLScan مي توان با پيكربندي
باشند نپذيرفت:
و غيره ) HEAD ، POST ، GET - بر اساس روشهاي درخواست ( يا كلمات ، مانند
- بر اساس پسوند فايلهاي درخواست شده
هاي رمزشده مشكوك (در مباحث بعدي خواهيد ديد كه اين قسمت URL - بر اساس
چقدر مهم مي باشد!)
ها URL در non-ASCII - بر اساس حضور كاراكترهاي
- بر اساس حضور ترتيب خاصي از كاراكترها
- بر اساس حضور سرآمدهاي مخصوص در درخواستها
براي هر كدام از اين موارد پارامترهاي مشخص وجود دارد كه بايد طبق يك ضوابطي در فايل
گذاشته شوند. URLScan.ini
مي تواند بارگذاري شود و هر گونه تغييراتي IIS فقط در زمان اجرا شدن URLScan.ini : نكته
دوباره راه اندازي شود. IIS در آن فقط زماني اعمال مي شود كه
پياده سازي يك فيلتر كننده درزهاي شبكه
اولين چيزي كه معمولا به ذهن يك هكر مي آيد اين است كه به چه صورت مي تواند دستورات
را در سرور به اجرا دربياورد تا بتواند به سرور تسلط پيدا كند و فايلهايي را از خارج به سرور
وارد كند . حال م ي توان با قرار دادن يك فيلتر كننده خروجي به وسيله ديواره آتش در مقابل
سرور وب جلو تمامي خروجي هايي را كه مي خواهند به پورتهاي ديگر ارتباط برقرار كنند ،
بگيريم. يك راه ساده آن است كه تمامي ارتباطات از داخل به بيرون از شبكه را رد كنيم به جز
آنهايي كه از قبل قرار داده ايم و اين كار، با بلوكه كردن تمامي درخواستهايي انجام مي شود كه
6دارند. البته با اين كار پاسخهايي كه به درخواستهاي مشروع كه به TCP SYN فقط يك پرچم
TCP -6 همانطور که مى دانيد براى برقرارى يک ارتباط به روش دست تکانى سه مرحله اى ، در مرحله اول ابتدا يک بسته
آن مقدار يک دارد! SYN درست مى شود که فيلد
IIS روشهاي نفوذ در سرورهاي وب
10 © www.WebSecurityMgz.com
داخل مي آيند بلوكه نمي شود و براي سرور اين امكان را ايجاد مي كند كه بتواند به بيرون
دسترسي داشته باشد. (درست گفتم ؟! )
ديده باني و ثبت وقايع
يكي ديگر از روشهاي مقابله فهميدن اين موضوع است كه ، وقتي يك نفوذگر در تدارك يك حمله
مي باشد ، دنبال چه چيزي مي گردد . دو تا از ويران كننده ترين نتايج ISAPI DLL به زير و بم
بود كه باعث تولد گونه ida/idq ISAPI سرريزي بافر در نگاشت كننده ها روي پسوند هاي
گرديد . اين كرمها همانند ويروس ها Nimda و Code Red جديدي از كرمهاي اينترنتي به نام
خودشان را منتشر مي كردند و در اواخر سال 2001 و تا اوايل 2002 بسياري از سرورهاي
آسيب پذير از اين سرريزي بافر را آلوده كردند. فايل ثبت وقايع سرورهايي كه آلوده شده بودند
محتوي مدخلي شبيه به زير بودند: Code Red به كرم
GET / default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u78
01%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00
%u531b%u53ff%u0078%u0000%u00=a7
همچنين تعدادي فايل را در سيستم هاي آلوده ايجاد مي كنند . به عنوان Nimda و Code Red
نشان دهنده اين موضوع مي باشد كه سيستم %System%\notworm مثال حضور دايركتوري
كه فايل root.exe آلوده مي باشد . همچنين است حضور فايل Code Red در حال حاضر به كرم
دستورات شل ويندوز مي باشد كه به اين نام تغيير پيدا كرده است ، نشان دهنده اين است كه
مي باشد Nimda سيستم آلوده به كرم
پس بايد به صورت منظمي فايل هاي ثبت وقايع را بررسي كنيد و همچنين فايل هاي سرور را
بازبيني كنيد تا در صورت برخورد با موارد مشكوك آنها را پيگيري كنيد . همه اين نكات به شما
كمك مي كند كه يك سرور امني داشته باشيد.
داده هاي پنهاني را در كد منابع 8 اتان قرار ندهيد
-7 نكته اي كه اينجا مي باشد اين است كه مهاجم دستورات اسمبلي را به يونيكد رمزگذاري كرده است. براي
مي باشد NOP به معني دستور x 0 تبديل مي شود كه هر كدام در زبان ماشين 86 x90 0x به 90 %u مثال 9090
!
8 - Source Code
IIS روشهاي نفوذ در سرورهاي وب
11 © www.WebSecurityMgz.com
مشكل افشا سازي كد را دارد . اين فرض غلطي مي باشد كه فكر كنيد IIS آنچه كه مشخص است
هيچ كس قادر به ديدن كدهاي منابع شما نمي باشد ! برنامه نويس ها بايد ياد بگيرند كه مرتكب
چنين اشكالي نشوند بعضي از عمومي ترين خطاها شامل موارد زير مي باشد:
SQL - رشته هاي با متون واضح و روشن براي ارتباط با پايگاه د اده به وسيله دستورات
نوشته مي شوند. ASP كه در اسكريپتهاي
به كار مي رود. global.asa - كلمات رمزي كه به صورت متون ساده و روشن در فايل
به .asp كه مي توان آنها را با پسوند ، .inc با پسوند هاي include - استفاده از فايلهاي
كار برد و در اسكريپتهاي ديگر نيز اين تغيير نام را اعمال كرد.
- توضيحات درون اسكريپتها كه محتوي اطلاعات مخفي مي باشد مانند آدرس ايميل ،
اطلاعاتي درباره ساختمان دايركتوريها ، كلمات رمز و ...
به صورت منظم شبكه خود را براي پيدا كردن آسيب پذيريها پويش كنيد
شايد يكي از بهترين روشهاي محافظت از چنين حملا تي اين است كه به صورت منظم سرور را
پويش كنيد تا به نقاط آسيب پذيري كه مهاجمان از آنها بهره مي برند آگاه شويد . پس قبل از
اينكه ديگران اين كار را عليه شما انجام دهند ، خودتان دست به كار شويد و آسيب پذيريهاي
سيستم خود را پيدا كرده و در جهت رفع آنها اقدام كنيد.
در مباحث بعدي درباره اينگونه پويشگرها به طور مفصل بحث خواهيم كرد.
IIS روشهاي نفوذ در سرورهاي وب
12 © www.WebSecurityMgz.com
پاسخ آسيب پذير قابل پيش
بيني
HTTP GET آسيب پذيريهاي مشهور
200 OK(/default.asp source
must be present ) /default.asp+.htr +.htr source disclosure,
MS01-004
500 Error performing query /null.idc Web directory path
disclosure,Q193689
200 OK (/file.stm must be
present) /file.stm,.shtm,.shtml Server side includes
buffer overflow
500 Internal server error;
HTML contains Error in
Web printer install
/null.printer .printer buffer
overflow,MS01-023
200 OK; HTML contains
The IDQ file .. could not
be found
/null.ida,idp Index Server buffer
overflow,MS01-033
200 OK; HTML contains
The format of
QUERY_STRING is
invalid
/null.htw Webhits source
disclosure,MS00-006
501 Not Implementd /_vti_bin/_vti_aut/fp30reg.dll
FrontPage Server
Extension buffer
overflow,MS01-035
منابع :
1- Hacking Exposed – Web Application , JOEL SCAMBRAY , MIKE
SHEMA
2- Web Hacking - Attacks and Defense, Stuart McClure, Saumil Shah, Shreeraj
Shah
3- www.SRCO.ir