图3 完整安全升级解决方案

    4．防范ASP木马
    Asp木马中最核心的技术就是利用脚本创建对象，然后利用cmd.exe命令来执行对文件的创建、删除以及修改等操作。目前较为流行的利用FSO以及不利用FSO技术的木马程序源代码。

    说明：FSO是对FileSystemObject的简称，IIS4以及后续版本中的ASP的文件操作都可以通过FileSystemObject实现，包括文本文件的读写目录操作、文件的拷贝改名删除等。FileSystemObject带来方便的同时，也具有非常大的风险性，利用FileSystemObject可以篡改并下载Fat以及FAT32分区上的任何文件，即使是ntfs，如果没有对权限进行很好的设置，同样也能遭到破坏。

    在众多的asp木马中，海阳顶端网asp木马应该是比较成熟的，也是用得最多的asp木马，就其版本而言，到目前为止已经推出了数个版本：海阳顶端网asp木马第一版、海阳顶端网asp木马xp版、海阳顶端网asp木马xp-net版、海阳顶端网asp木马2003版、海阳顶端asp木马安装插件版以及本次入侵中用到的海阳顶端网asp木马2006版。

    目前有很多软件可以对asp源代码进行加密，例如asp木马免杀工具等。其原理是采用一定的算法将源代码或者源代码中的关键字进行某种转换，经过转换后，源代码已经变为乱码或者显示为特定的字符形式。但是随着杀毒技术的提高和版本的升级，经过加密后的asp木马仍然不能保证躲过杀毒软件的查杀。

    ASP木马主要是通过三种组件FileSystemObject、WScript.Shell和Shell.Application来操作的，因此只要你在服务器上修改注册表，将这三种组件改名，即可禁止木马运行、防范黑客入侵了。这一招能防范所有类型的上传漏洞，因为即使黑客将木马成功上传到服务器中，但是由于组件已经被改名，木马程序也是无法正常运行的！

    具体而言，需要将FileSystemObject组件、WScript.Shell组件、Shell.Application组件改名，然后禁用Cmd.exe，就可以预防漏洞上传攻击。

    总结
    其实我们可以把这次攻防比赛看成是一次模拟入侵测试，模拟入侵测试是一种从外部观点来评价安全控制措施的方法，它可以更加有效检查防范、跟踪、内部及外部入侵报警等所有的控制措施。但是必须注意的是，尽管渗透性测试是评估组织的控制措施的最好方法之一，但这种方法的有效性依赖于测试者的水平和努力程度。你需要明白，没有经过“模拟入侵”检测的安全体系根本就是如同虚设，没有意义。