فایل شل فایلی است که در صورتی که روی یک هاست (سرور) آپلود شود ، به هکر دسترسی کامل به کلیه اطلاعات روی سرور را می دهد ، بصورتی که گویی هکر سرور رو مال خودش کرده !
بدین صورت هکر از طریق فایل شل و با بهره مندی از کاماندهای ویندوزی و یا لینوکسی می تواند به راحتی روی سرور حرکت کند و هر کاری که دلش می خواد روی فایل های موجود بر روی سرور انجام دهد!!!

آپلود شل بر روی سایت یکی از خطرناک ترین روش های حمله هکرها به سایت ها می باشد.
در این نوع حملات هکرها فایل شل را به راحتی از طریق FileUpload های موجود بر روی سایت به روی سرور (هاست) آپلود می نماید!!!
این موضوع بالاخص در آپلود سنترها و سایت هایی که به کاربرانشان امکان آپلود فایل می دهند شدت می گیرد.
برای جلوگیری از این حمله باید 2 روش را استفاده نمایید:

1- بررسی پسوندهای مجاز جهت آپلود فایل
(در زمان آپلود باید فرمت دقیق فایل را بررسی و از آپلود فایل با فرمت های خطرناک جلوگیری نمایید.)

2- جلوگیری از اجرای فایل های غیر مجاز بر روی سرور
در این روش شما در مسیر های حساس سایتتون (مثل پوشه ای که فایلا رو دارین توش آپلود می کنین) اجازه اجرای فایل های مخرب رو نمیدین ، بدین صورت حتی اگر شل هم توی این مسیر ها آپلود بشه ، اجرا نخواهد شد ....

در آموزش قبلی (آموزش بررسی پسوندهای مجاز فایل ها در asp.net) روش اول را کاملا شرح دادم.
در این آموزش جلوگیری از اجرای فایل های غیرمجاز بر روی سرور را آموزش خواهم داد.

بدین جهت باید درون فایل وب کانفیگ سایتتون و درون تگ <configuration> تگی همانند زیر قرار بدید:


همچنین بالا بردن امنیت کل هاست نیز :


دقت کنین که تگ بالا رو باید درون تگ <system.webServer> بنویسین.
اگر این تگ درون وب کانفیگ شما وجود ندارد ، باید درون تگ <configuration> این تگ را بسازین و سپس تگ های بالا رو توش اضافه کنین.

سایر تنظیمات امنیتی وب کافیگ رو می تونین در آدرس زیر مطالعه کنین.
آموزش امنیت در asp.net

نوشته شده در تاریخ پنجشنبه 19 دی 1392    | توسط: ح.م    | طبقه بندی: آموزش امنیت در asp.net،     | نظرات()