ASP.NET虚拟主机的重大安全隐患(一)
2024-07-10 13:04:17
供稿:网友
中国最大的web开发资源网站及技术社区,
2002-07-01· ·秦海鹏··yesky
说明:本文中所有程序均在windows 2000 server中文版 + sp2上编译运行无误
开发环境:.net 框架1.0 version 1.0.3705
一、asp.net虚拟主机存在的重大隐患
我曾经在www.brinkster.com申请了一个免费的asp.net空间,上传了两个程序,其中一个查看目录和文件的程序证明我的判断:asp共享空间服务器存在的一个安全问题,在 asp+ 共享空间服务器中依然存在并且变得更加难以防范!通过这个程序我可以浏览所有用户的asp+程序,可以查看服务器的系统日志……,当然,如果我想删除什么的话也不会有什么问题。为了让大家更清楚地了解这一问题,我们有必要简单介绍一下asp中就已经存在的这一问题。
asp中常用的标准组件:filesystemobject,这个组件为 asp 提供了强大的文件系统访问能力,可以对服务器硬盘上的任何有权限的目录和文件进行读写、删除、改名等操作。fso对象来自微软提供的脚本运行库scrrun.dll中。
使用下面的代码就可以在asp中创建一个fso对象:
set fso = createobject("scripting.filesystemobject")
我们使用fso对象包含的属性和方法,如drive、drives、folder、floders、file、files等对服务器的磁盘、目录和文件进行读、写、删除等操作。这一强大的文件系统访问能力给asp共享空间提供者带来了严重的安全问题,很多asp空间的管理员都删除此组件或将这个组件改名以避免用户使用这一标准组件。删除组件或组件改名确实是一个简单的方法并且也很有效,但是却使广大用户无法使用它的强大的功能。网络上还有一种看起来很美的方案,它允许用户使用 filesystemobject 组件又不影响服务器的安全,即对每一个用户都设置一个独立的服务器用户和单个目录的操作权限。但是这种方法是有问题的。因为asp和asp.net中在这方面的问题十分类似,所以我们将在asp.net的相应解决办法部分详加说明。
在asp.net中我们发现这一问题仍然存在,并且变得更加难以解决。这是因为.net中关于系统io操作的功能变得更加强大,而使这一问题更严重的是asp.net所具有的一项新功能,这就组件不需要象asp那样必须要使用regsvr32来注册了,只需将dll类库文件上传到bin目录下就可以直接使用了。这一功能确实给开发asp.net带来了很大的方便,但是却使我们在asp中将此dll删除或者改名的解决方法失去效用了,防范此问题就变得更加复杂。在讨论解决方案之前,我们先来看一下怎么来实现上述的危险的功能。
二、文件系统操作示例
在我们编写代码之前,有必要了解一下我们需要用到的几个主要的类。这几个类都在system.io名称空间下,system.io 名称空间包含允许在数据流和文件上进行同步和异步读写的类。
在整个应用程序的开始部分我们需要了解一下服务器的系统信息,这就需要用到system.environment类,该类提供有关当前环境和平台的信息以及操作它们的方法。我们通过system.environment类可以得到系统的当前目录和系统目录,这可以使我们更快的发现几个关键的目录;我们还可以通过获取运行当前进程的用户名来帮助我们了解asp.net程序运行所使用的用户,进一步设置用户权限以避免这一安全问题。
我们还要使用system.io名称空间的其他几个类是:
system.io.directory:提供用于创建、移动和枚举通过目录和子目录的静态方法的类
system.io.file:提供用于创建、复制、删除、移动和打开文件的静态方法的类
system.io.fileinfo:提供创建、复制、删除、移动和打开文件的实例方法的类
system.io.streamreader:实现一个 textreader,使其以一种特定的编码从字节流中读取字符。
每个我们所使用的类的属性和方法的具体用法我们将以代码注释的方式在程序中加以说明。
system.io名称空间在 .net framework提供的mscorlib.dll中,在使用vs.net编程之前需要将此dll引用到此项目中。
我们所编写的程序都使用了codebehind方式,即每一个aspx程序都有一个对应的aspx.cs程序,aspx程序中只是写与页面显示相关的代码,所有逻辑实现的代码都放在相应的aspx.cs文件中,这样就可以更好得做到显示与逻辑的分离。由于我们的目的不是讨论codebehind技术,所以就不在对此多加讨论了。
在这篇文章里,我们只介绍几个主要的类及其关键方法的用法,详细程序请查看附带的源代码。
程序一:显示服务器的当前信息和全部逻辑驱动器的名称的程序listdrivers.aspx
主要方法1:我们使用 getsysinf() 方法来得到服务器的当前环境和平台的信息
//获取系统信息的方法,此方法在listdrivers.aspx.cs文件中
public void getsysinf () {
//获取操作系统类型
qdrives = environment.osversion.tostring();
//获取系统文件夹
qsystemdir = environment.systemdirectory.tostring();
/*获取映射到进程上下文的物理内存量,通过这一内存映射量可以了解asp.net程序在运行时需要多少系统物理内存,有助于更好的规划我们的整个应用,因为物理内存量是以byte为单位的,所以我们将此数值除以1024,可以得到单位为kb的物理内存量*/
qmo = (environment.workingset/1024).tostring();
//获取当前目录(即该进程从中启动的目录)的完全限定路径
qcurdir = environment.currentdirectory.tostring();
//获取主机的网络域名
qdomname = environment.userdomainname.tostring();
//获取系统启动后经过的毫秒数
qtick = environment.tickcount;
//计算得到系统启动后经过的分钟数
qtick /= 60000;
//获取机器名
qmachine = environment.machinename;
//获取运行当前进程的用户名
quser = environment.username;
/*检索此计算机上格式为"<驱动器号>:/"的逻辑驱动器的名称,返回字符串数组,这是下一步操作的关键所在*/
achdrives = directory.getlogicaldrives();
//获取此字符串数组的维数,确定有多少个逻辑驱动器
nnumofdrives = achdrives.length;
}
系统信息不需要进行操作,我们简单的用asp:label将他们显示出来就行了。逻辑驱动器的个数在不同的服务器上是不定的,所以用不定长数组保存逻辑驱动器的名称,而且逻辑驱动器的名称也是我们下一步浏览目录和文件的基础,故我们采用了数据网格datagrid来显示和处理它。
显示和处理逻辑驱动器名称的datagrid的代码(代码在listdrivers.aspx文件):
<asp:datagrid id="driversgrid" runat="server" autogeneratecolumns="false">
<columns>
<asp:boundcolumn headertext="id" datafield="id" />
<asp:boundcolumn headertext="磁盘名" datafield="drivers" />
<asp:hyperlinkcolumn
headertext="详细信息"
datanavigateurlfield="drivers" datanavigateurlformatstring="listdir.aspx?dir={0}"
datatextfield="detail"
target="_new" />
</columns>
</asp:datagrid>
前两个boundcolumn列都是显示序号和实际逻辑驱动器名称的,需要说明的是第三列,我们在进入各个逻辑驱动器显示目录和文件之前需要将所选择的逻辑驱动器的名称传递到显示目录的文件去,所以需要一个特殊的超级链接行hyperlinkcolumn,我们将datanavigateurlfield设置为数据源中要绑定到 hyperlinkcolumn 中的超级链接的 url 的字段,在此即逻辑驱动器名称。然后将datanavigateurlformatstring设置为当 url 数据绑定到数据源中的字段时,此hyperlinkcolumn中的超级链接的 url 的显示格式,即要链接到的下一级处理页面,在此为listdir.aspx?dir={用户点击行的逻辑驱动器名称}
创建数据源的代码(代码在listdrivers.aspx.cs文件中):
//通过此方法返回一个集合形式的数据视图dataview
icollection createdatasource() {
//定义内存中的数据表datatable
datatable dt = new datatable();
//定义datatable中的一行数据datarow
datarow dr;
/*向datatable中增加一个列,格式:datacolumn("column", type)
column为数据列的名字,type为数据列的数据类型*/
dt.columns.add(new datacolumn("id", typeof(int32)));
dt.columns.add(new datacolumn("drivers", typeof(string)));
dt.columns.add(new datacolumn("detail", typeof(string)));
//使用for循环将逻辑驱动器的名称以行的形式添加到数据表datatable中
for (int i = 0; i < nnumofdrives; i++) {
//定义新行
dr = dt.newrow();
//对行中每列进行赋值,注意要与上边定义的datatable的行相对应
dr[0] = i; //循环生成的序号
dr[1] = achdrives[i].tostring(); //逻辑驱动器的名称
dr[2] = "查看详情";
//向datatable中添加行
dt.rows.add(dr);
}
//根据得到的datatable生成自定义视图dataview
dataview dv = new dataview(dt);
//返回得到的视图dataview
return dv;
}
我们通过这个方法得到了一个包含所有我们需要的数据的数据视图dataview,我们只需要在此aspx页的page_load方法中将此数据视图绑定到datagrid上就可以了。
数据绑定代码(代码在listdrivers.aspx.cs文件中):
/* 设置datagrid的数据源datasource为我们从createdatasource()方法得到的数据视图dataview */
driversgrid.datasource = createdatasource();
//将此datagrid进行数据绑定
driversgrid.databind();
通过上边介绍的几种主要方法我们就实现了获取系统信息和显示所有逻辑驱动器名称的功能,并且可以通过相应的链接进入下一个显示目录和文件名的程序listdir.aspx显示该逻辑驱动器下的所有目录和文件。
