我們公司的一個網站存在重大安全漏洞。該網站建立在C#,ASP.Net和IIS 7上。有一些黑客可以從網站主頁的登錄表單上傳文件。網站上沒有其他表格,只有用戶可以看到索引頁面。如何防止從HTML表單上載匿名文件
當我檢查服務器日誌,有一個從遠程桌面或FTP沒有匿名訪問。所以我認爲黑客只從登錄表單上傳文件。我們設置了限制用戶訪問某些國家的防火牆,但是當我看到服務器日誌時,來自這些受限制國家/地區的人仍然可以訪問該頁面,而這些文件僅來自這些國家/地區。
我們正在使用的服務器是專用服務器。客戶支持無法爲解決此問題提供足夠的幫助。
可有人請扔在這裏發生什麼以及我如何防止光。
我認爲你的應用程序不接受匿名文件上傳。這意味着某些東西正在被利用。
沒有看到你的應用程序源代碼,並知道你的服務器是如何配置的,它是不是真的能夠提供一種簡單的解決方案,以防止你的懷疑文件上傳漏洞。相反,我已經提供了有關如何保護您的服務器和應用程序的信息,我希望您會發現它們很有用。
重新開始:現在,您的服務器已被泄露,您應重新設置服務器,並加載數據從最後一個已知的安全備份回來。除非您確切知道他們在系統上做了什麼妥協,並且可以確保您可以撤銷效果,否則挽救已經受損的服務器並將其恢復到安全狀態而不重新格式化是相當困難的。我會一直犯謹慎的態度。
積極保護: 您應確保Windows更新已啓用並定期應用。您每天都會安裝防病毒軟件,這是一個嚴密的防火牆。當然,爲所有用戶帳戶使用強密碼。不要忘記定期修補第三方軟件和控件。
FTP不安全:您注意到您正在使用FTP。 FTP is insecure,你的證書在互聯網上以明文形式發送,如果黑客破壞了你和你的服務器之間的任何網絡(並且其中一些網絡可能不在你的控制之下),你應該避免使用FTP,那麼他們可以擁有隻需在登錄時閱讀即可。不會記錄認證錯誤,因爲他們知道密碼。因此,用SFTP替換FTP,或者更好,但只有通過VPN隧道才能訪問您的服務器到您的服務器。
PCI漏洞掃描:一旦您的服務器處於相對安全的新狀態,您應該對服務器運行PCI掃描。對於處理敏感信用卡詳細信息的服務器,PCI掃描是必需的,但對於檢查任何面向公衆的服務器的安全性(即使您不處理信用卡)來說,它是非常有用的。
有很多providers of PCI compliance scans。有很多免費試用解決方案,因此您的初始成本很低。我可以推薦這兩個,Comodo Hacker Guardian和McAfee Vulnerability Scanner。
使用非常簡單,您註冊併爲掃描器提供服務的IP地址,然後掃描它並提供所有已知漏洞的報告,並且需要進行修補。它很可能不會在Web應用程序中找到漏洞,但可能存在漏洞在於IIS或其他服務器技術,而不是您的代碼。
我相信你會驚訝可以返回多少關於服務器的信息,當時我是第一次運行掃描。
哈登您的Web應用程序:一旦你已經解決了所有的問題,你就可以比較確信你的服務器是安全的,現在你只需要檢查你是以下best practices和強化你的代碼。並非所有的這些都將一定適用,(我不知道您是否使用例如SQL Server)的,但你絕對應該遵循這些教程爲您的代碼:
Microsoft: Preventing SQL Injection
MSDN: Securing IIS 7
Microsoft: Configure NTFS File Permissions for Security of ASP.NET Applications
ASP .NET有很多內置的檢查來防止不安全的代碼被注入到表單中。如果您確定這是他們如何破壞您的服務器,那麼這可能與您的情況最相關。 Microsoft: Protect From Injection Attacks in ASP.NET
構建ASP.NET應用程序時,瞭解所有各種漏洞可能位於何處非常有用。該表可能是有用的:
感謝Rick G. Garibay。您應該閱讀他的安全介紹:Hardening Security in ASP.NET Applications & Services。
繼續檢查:一旦您的應用程序已經部署並正在運行,並且您已經強化了您的應用程序和服務器,就讓它運行起來,這是非常誘人的。但請定期檢查防病毒程序是否仍在運行並正確更新,並且正在應用修補程序等。在攻擊發生之前掃描日誌。服務器運行時間越長,隨着時間的推移可能發現的漏洞越多,因此請繼續運行PCI掃描,您選擇的頻率將取決於數據的安全要求。
這是一個很長的答案,但我希望它有助於解決您的安全問題。
因此,該網站沒有FileUpload控件?我不會認爲他們正在使用登錄表單來上傳文件。做一般的安全審查。從鎖定IIS開始。 – Paparazzi