ORF反垃圾邮件系统

邮件服务器-邮件系统-邮件技术论坛(BBS)

 找回密码
 会员注册
查看: 48999|回复: 31
打印 上一主题 下一主题

[原创] ★Winwebmail安全详细的设置,避免ASP/ASP.NET跨站攻击危险。★

[复制链接]
跳转到指定楼层
顶楼
发表于 2008-6-5 17:25:58 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
漏洞描述:

IIS启动进程池的默认用户为network service(网络服务)
ASP.NET2.0启动的用户也是network service

对于直接按照winwebmail官方网站那样设置直接给user组权限的,就更不用说了。asp,php都可以完成攻击了。

也就是说,对于没有更改winwebmail进程池启动用户为另一个单独用户的服务器上如果存在asp.net 2.0的问题站点,就可以通过ASP.NET 2.0的程序实现跨站攻击到WINWEBMAIL邮局。

攻击思路:

1,寻找服务器上asp.net 漏洞站点,上传asp.net木马
2,浏览c:\windows目录下的WEMINSTALL.LOG,获得winwebmail安装路径。
3,因为.net 2.0和winwebmail都是用network serivce启动。所以可以直接用木马访问webmail邮局目录。从而访问,修改,popuser.ini.domain.ini,mail,web目录。

防止跨站攻击WINWEBMAIL安全设置详细讲解:

以前安装WINWEBMAIL,通常大家都是参照官方的说明,给Winwebmail目录users组甚至是Everyone可写权限。这样设置基本就能满足winwebmail的运行了。但是对于一些服务器上同时存在有其他asp或者asp.net站点,比如做虚拟主机的服务商。这样设置很容易在另外一些站点被黑后,受到跨站攻击的牵连。

好一点的就将Winwebmail的安装目录改的很复杂来躲避黑客的跨站攻击。

就这一点来讲,我觉得WINWEBMAIL官方对于目录权限的设置其实说的太过简单,有点不负责任的感觉。

下午我仔细分析了WINWEBMAIL的目录安全设置。即使按照一些特殊处理过能够防止ASP跨站攻击的设置,其实依然很容易被人ASP.NET跨站攻击 。实际上经过测试,我没有花太多工夫就跑进了一位协助测试的同志服务器的Winwebmail目录。并且可以随意修改里面的东西了。


下面讲下具体操作流程,

1、安装完WINWEBMAIL,基本的东西不详细说了。以下图片中有一个HOSTGROUP组的权限,如果你的服务器上没有这个组可以忽略。

2、新建立一个USER,属于GUESTS组,如:mail_vistor。(*注:如果使用iis自带的IUSR_XXX来宾用户,图片中用的是默认用户。那么这一步可以省略)。

3、新建立一个USER,属于IIS_WPG组,如:mail_user。

4、打开IIS,新建立一个进程池,命名, 如:mail_process。启动权限用户设置为:mail_user



5、打开IIS,新建立一个站点,指定主文档目录为WINWEBMAIL目录下WEB目录。并指定进程池为mail_process.
在目录安全性,里编辑匿名访问用户为:mail_vistor(或者默认为IUSR_XXX,二个用户选一即可,图片中用的是默认IIS用户)。



6、给安装WINWEBMAIL的盘符根目录比如:E盘,管理员和mail_vistor(或IUSR_XXX)只读权限。

7、给WINWEBMAIL目录IIS_WPG组、mail_vistor以及管理员三者可读写权限。

     添加network service和aspnet
两个用户,权限设置为拒绝访问。


     
添加运行其他运行ASP网站的用户组为拒绝权限,我这里其他所有ASP网站都是在hostgroup用户组里的用户的权限来分别验证的的,我直接将整个组添加权限为:拒绝访问。(通其他ASP的防止跨站的权限设计,我就简单带过。)


winwebmail目录下各用户的权限为:





winwebmail下的web目录权限最终是:



8、重新启动IIS及WINWEBMAIL服务,即可。



这样操作后已经大体封锁了来自除了邮件WEB程序以外的其他asp,asp.net的程序攻击了。目前我测试各方面正常。具体防止WEB目录程序攻击WINWEBMAIL的详细设置,就各人喜欢再继续深入设置,我就不具体讲了。



结束:如果你不是很了解权限的设置,你还可以简单的这样操作,将WINWEBMAIL安装到一个不容易猜解的目录里,比如:E:\XX73C3DA
这种名字的目录。然后备份c:\windows目录下WEMINSTALL.LOG这个文件并删除。(备份的作用,我是怕以后升级winwebmail需要使用这个log文件。具体是否需要没有测试过。我就是通过这个文件找出了测试服务器的具体安装位置的。),但为了避免其他地方可能还暴露出安装位置,建议你还是按照我的教程进行设置一下吧。


如果有什么问题或者设置不足之处欢迎回帖交流或加QQ群(11241732)反馈。

[ 本帖最后由 Freemikej 于 2009-10-18 17:01 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?会员注册

x

评分

参与人数 1经验积分 +10 技术积分 +10 5D金币 +10 收起 理由
rayer + 10 + 10 + 10

查看全部评分

沙发
发表于 2008-6-5 17:30:48 | 只看该作者
我的沙发
藤椅
发表于 2008-6-5 17:31:45 | 只看该作者
抢个板凳啊!顶起!
板凳
发表于 2008-6-5 17:32:28 | 只看该作者
看看了啊~!谢谢锤子~!
报纸
发表于 2008-6-5 18:05:48 | 只看该作者
特地再来感谢锤子兄  刚才抢沙发 字不敢打多 怕抢不到 呵呵 :lol
地板
发表于 2008-6-5 18:18:35 | 只看该作者
路过看看kkkkkkkkkkkkkkk
7
发表于 2008-6-5 20:01:11 | 只看该作者
好东东,顶一个。不过为什么要设成必须回复呢?
8
发表于 2008-6-7 14:57:22 | 只看该作者
其实设置成独立用户运行WINWEBMAIL就可以了   

国内有那么高深的技术的所谓的“黑客”没发现几个
9
 楼主| 发表于 2008-6-7 15:39:36 | 只看该作者
看你给winwebmail目录什么权限。如果你给了users组写入权限,你就按照你的想法开个独立用户,然后给我一个asp.net的临时空间,我可以帮你测试下是否安全。呵呵。
10
发表于 2008-7-14 15:29:06 | 只看该作者
弄了半天,也没有弄太明白,还是谢谢了,有时间再好好的看吧。
您需要登录后才可以回帖 登录 | 会员注册

本版积分规则

小黑屋|手机版|Archiver|邮件技术资讯网

GMT+8, 2024-11-26 18:21

Powered by Discuz! X3.2

© 2001-2016 Comsenz Inc.

本论坛为非盈利中立机构,所有言论属发表者个人意见,不代表本论坛立场。内容所涉及版权和法律相关事宜请参考各自所有者的条款。
如认定侵犯了您权利,请联系我们。本论坛原创内容请联系后再行转载并务必保留我站信息。此声明修改不另行通知,保留最终解释权。
*本论坛会员专属QQ群:邮件技术资讯网会员QQ群
*本论坛会员备用QQ群:邮件技术资讯网备用群

快速回复 返回顶部 返回列表