网络程序实验报告
西南科技大学计算机学院 实验报告 实 验 名 称 Web 应用程序的攻击 实 验 地 点 东六 A323 实 验 日 期 2010.5.9 指 导 教 师 李波 学 生 班 级 信安 0701 学 生 姓 名 唐玲丹 学 生 学 号 20071839 提 交 日 期 2010-6-4
一、实验原理 我觉得主要是利用网站上的或者是应用程序的漏洞进行攻击,上传一些非法的代码或者是木马程序之类的,攻击的对象可以是服务器,也可以是游览网站的客户等。
本实验通过对一个 Web 应用程序——动网 BBS 6.0——中上传漏洞的应用,了解和体会针 对 Web 应用程序的攻击过程,从而理解针对 Web 应用程序攻击的目的和基本过程。
动网 BBS 6.0 是用 asp 语言写的一个 Web 应用程序,本次实验中采用的版本使用了 Access2000 文件型数据库。
动网 BBS 6.0 的上传漏洞利用了上传用户头像的代码中对自定义头像文件名处理不够严密的问题,将恶意的 asp 代码上传到服务器上运行,从而得到服务器上的资源信息。
二. 实验过程及试验中发生的问题 1.安装动网 BBS 6.0 2.访问并注册动网 BBS(在注册时,上传的文件必须要有后缀名,否则无法上传)3.实行漏洞攻击,上传 asp 木马上传到动网 BBS 服务器中。
4.访问上传的 ASP 木马,进而浏览服务器的整个硬盘中的信息。
5.下载 Wireshark 的安装文件,并安装。运行 Capture->Interfaces。
(实验过程中 Wireshark程序并没有抓到包)6.根据 IP 地址,点击相应接口上的 Start 按钮,对该接口进行数据获取。
(重新安装了Wireshark,但是还是没有抓到包,分析可能的原因大概有两个,一个是 Wireshark程序安装有问题,还有一个是我们尝试在现实中抓包,现实中存在数据包,所以最大的可能就是,在虚拟的环境中抓包存在问题)7.同伴使用另外一台计算机,使用“DVBBS 上传利用工具.exe”,重复步骤 3,(因为实验条件限制,所以只是自己对自己进行了攻击,就是将攻击的地址写成http://localhost/dv6/upfile.asp)对本机进行一次攻击,观察 Wireshark 的窗口,选中“TCP 任意端口号>http”一行数据。
(抓不到数据包的问题依然存在,因为实在抓不到数据包所以后面的实验并没有顺利完成)三、实验思考或体会 1、上传漏洞攻击完成后,攻击者能做哪些事情? 答:攻击成功以后,可以获得用户数据,更改用户数据,但是不能删除数据,可以获得用户信息及服务器主机信息等。
2、如何抵御上传漏洞攻击? 答:从源代码根本解决问题:对上传文件内容进行检测,过滤,只运行上传合法的文件(动易新版本的做法:几乎所有通过表单提交的数据,分字符型和数字型,分别用一个专门的函数进行处理。只要是提交的数据包含非法字符,或者被替换为安全字符,或者提交的数据被替换为默认值。)这是人家已经做了的,所以肯定是可行的;对上传目录做权限设置:尤其要注意脚本安全,取消脚本的可执行权限和浏览权限(比如动网论坛除了根目录以外,其它所有目录都只给读取权限即可,关闭执行权限)这个方法也是实际中运用了的,所以也是一个实际解决问题的方法;另外的方法还有对非上传目录取消写权限和浏览权限,在 IIS 的运用程序配置中,删除不需要的程序映射等。(这些方法参考自互联网http://bbs3.chinaunix.net/viewthread.php?tid=1514599)
