ASP.NET开发实践系列课程之Web应用的安全攻防之网页木马

木马概述
一类恶意程序。多不会直接对电脑产生伤害，而是以控制为主。

网页木马(SPY)
表面上伪装成普通的网页文件或是将恶意的代码直接插入正常的网页文件中，当有人访问时，网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。

另一种是，通过网站的安全漏洞或社会工程学原理将一个web版的spy程序放置在网站的某目录中。

网页spy的主要表现形式及危害
读取，下载网站，服务器系统内部敏感文件，非法获取数据
修改删除网站，服务器系统内部重要文件，破坏网站或服务器系统，使得网站或服务器系统无法正常工作。或篡改重要内容，欺骗访问者或破坏网站公司形象。
修改网站程序，向网站页面挂马，造成访问者的电脑系统被植入木马程序
获取服务器的高级权限，控制服务器，进行非法行为。
将web服务器做为跳板入侵公司组织内部系统。

网页木马主要原理
通过文件上传的安全漏洞或通过社会工程学原理，向网站内放置非法的*.asp,*.php,*.aspx...文件
确认文件所在目录有执行权限，以确保上述文件可被web服务器执行
确认放置的非法网页程序，具有文件读取，修改，删除等权限
确认放置的非法网页程序，是否可以执行特殊的系统命令
确认服务器上是否安装了可能有漏洞的软件/服务程序
利用放置的非法网页程序执行非法操作

主要防御手段
IIS不要开启写入权限
网站的文件上传程序，要具有一定的安全过滤能力
上传文件的存储目录在IIS中不允许执行脚本
不需要动态修改的文件或目录，最好设置为只读。
有安全风险的网站将其设置在独立的应用程序池中
应用程序池的执行身份最好是单独设置的用户，以便隔绝不同应用程序池之间的访问权限，该用户的系统权限尽量放低（比如说不允许执行高极的系统命令）
文件系统使用NTFS格式，并设置好足够的最小权限。
数据库服务部允许本地账号直接访问，尤其是不允许管理员身份
建议不允许当前往站的数据库用户具有XP-Shell的执行权限
尽量避免安全具有安全风险的第三方软件，例如Serv-U等
若是IIS7.5,建议将应用程序池标识设置为Application PoolIdentity