如果你使用Dreamweaver MX、MX 2004,、或UltraDev 4中的任一版本来开发应用或电子商务网站,这些站点可能含有严重甚至致命的弱点。这些弱点将使攻击者访问后端数据库服务器而无需获得真实用户ID和密码。
这种情况并非是由于拙劣的编程实践造成的。因此,这些弱点将有可能影响任何结合SQL数据库使用以上开发平台的使用者。即使你具备丰富的开发经验或强烈的安全意识(甚至二者兼备),你仍然需要检查这些潜在的威胁。
Dreamweaver的这些问题并非是代码中的BUG,所以除去掉一到两个文件外,不需要任何的重新编程或对开发代码的其他改变。这些问题产生的原因是开发者常使用有缺陷的Macromedia工具来创建数据库链接。而这些数据库常与电子商务相关并可能包括敏感数据。所以在开发此类应用时,有必要测试这些发生危险的数据库链接。
在开发过程中,ASP 脚本mmhttpdb.asp通常被上传到Web站点以检测数据库的连通性。有意使用这种脚本的用户只可能是开发人员。由于这种脚本不含任何安全特性,所以并不需要用户ID或密码。
当开发者按惯例打开数据库连接对话框并设置Using Driver On Testing Server 或Using DSN On Testing Server时,这就创建了ASP脚本并将其上传到测试服务器。
如果数据库和DSNs已经受到密码保护,则攻击者无法使用SQL命令。而一旦没有配置密码保护,则必须重点关注mmhttpdb.asp在此服务器所定义的列出Datasource Names的能力。结合第二步操作(即允许用户使用任选SQL查询测试站点),如果攻击者知道这个文件,这会使其危及后端数据服务器安全并下载或篡改数据库中任意数据的情况成为可能。
解决方案很简单:删除ASP脚本正常安装的目录。Dreamweaver MX创建的是_mmServerScripts目录;UltraDev创建的是_mmDBScripts目录。
远程测试电子商务网站访问数据库的能力是非常重要的,Macromedia开发工具提供了解决此问题简单而有效的方法。然而,由于其如此简单明了,开发者有可能忽视以下事实:危险的ASP脚本允许创建远程HTTP对数据库服务器的操作并更新Web服务器。所以,基于这些脚本对于应用开发并非必需的情况,由开发团队中的某人来完成删除这些脚本的任务就显得十分重要。
如果数据库具备密码保护,这将会减少所受的威胁。但从安全的立场出发,在服务器上留下ASP脚本仍然是不明智的举动。这对于此类连经验丰富的开发者都不易发现的隐含的安全威胁来说,是一个极好的例子。至少,对于常常关注能够影响所使用的开发应用软件或操作平台的安全公告的开发团队成员来说,这也应当作为一种很好的激励。
