top
Loading...
ASP漏洞分析和解決方法(8)
19、ASP主頁.inc文件泄露問題

漏洞描述:
受影響的版本:任何提供ASP服務的系統
遠程:YES / 本地:YES

內容摘要:
當存在asp的主頁正在制作并沒有進行最后調試完成以前,可以被某些搜索引擎機動追加為搜索對象,如果這時候有人利用搜索
引擎對這些網頁進行查找,會得到有關文件的定位,并能在瀏覽器中察看到數據庫地點和結構的細節揭示完整的源代碼。
具體操作過程是:
- 利用搜索引擎查找包含+"Microsoft VBScript 運行時刻錯誤執行搜索" +".inc ," 的關鍵字
- 搜索引擎會自動查找包含asp的包含文件(.inc)并顯示給用戶
- 利用瀏覽器觀看包含文件的源代碼,其中可能會有某些敏感信息

漏洞的利用:
例子:
- http://shopping.altavista.com/inc/lib/prep.lib
暴露數據庫連接和性質, 資源地點, 小甜餅邏輯,服務器 IP 地址
- http://www.justshop.com/SFLib/ship.inc
暴露數據庫性質
- http://www.bbclub.com:8013/includes/general.inc
暴露 cobranding
- http://www.salest.com/corporate/admin/include/jobs.inc
暴露 datafile 地點和結構
- http://www.bjsbabes.com/SFLib/design.inc
包括數據庫結構為 StoreFront 2000 暴露源代碼
- http://www.ffg.com/scripts/IsSearchEngine.inc
暴露搜索引擎記錄文件
- http://www.wcastl.com/include/functions.inc
暴露成員電子郵件地址
- http://www.wcastl.com/flat/comments.txt
暴露成員私人的注釋文件
- http://www.traveler.net/two/cookies.inc
暴露 cookie 邏輯

解決方案:
- 搜索引擎應該不索引有 asp 運行時刻錯誤的頁
- 程序員應該在網頁發布前對其進行徹底的調試
- 安全專家需要固定 asp 包含文件以便外部的用戶不能看他們
asp 新聞組、站點提供兩個解決方案對這個漏洞進行修正,首先對 .inc 文件內容進行加密,其次也可以使用 .asp 文件代
替 .inc 文件使用戶無法從瀏覽器直接觀看文件的源代碼。.inc 文件的文件名不用使用系統默認的或者有特殊含義容易被用戶猜
測到的,盡量使用無規則的英文字母。

北斗有巢氏 有巢氏北斗