ASP:Hack & Anti-Hack

  本文主要叙及有关asp/iis的安全性问题及其相应对策,不提倡网友使用本文提及的方法进行任何破坏,否则带来的后果自负,通过asp入侵web server,窃取文件毁坏系统,这决非耸人听闻...

iis的安全性问题

1.iis3/pws的漏洞

  我实验过,win95+pws上运行ASP程序,只须在浏览器地址栏内多加一个小数点ASP程序就会被下载下来。IIS3听说也有同样的问题,不过我没有试出来。

2.iis4的漏洞
  iis4一个广为人知的漏洞是::$DATA,就是ASP的url后多加这几个字符后,代码也可以被看到,使用ie的view source就能看到asp代码。win98+pws4没有这个问题。

  解决的办法有几种,一是将目录设置为不可读(ASP仍能执行),这样html文件就不能放在这个目录下,否则html不能浏览。二是安装微软提供的补丁程序。三是在服务器上依次安装sp3+ie4.01sp1+option pack+sp4。

3.支持ASP的免费主页面临的问题

  你的ASP代码可能被人得到。ASP1.0的例子里有一个文件用来查看ASP原代码,ASPSamp/Samples/code.asp 如果有人把这个程序弄上去了,他就可以查看别人的程序了。
例如: code.asp?source=/someone/aaa.asp

  你使用的ACCESS数据库可能被人下载既然ASP程序可以被人得到,别人就能轻而易举的知道你的数据库放在何处,并下载它,如果数据库里含有的密码不加密,那...就很危险了。

  webmaster应该采取一定的措施,严禁code.asp之类的程序(似乎很难办到,但可以定期检索特征代码),限制mdb的下载(不知行不行)。

4.来自filesystemobject的威胁

  IIS4的ASP的文件操作可以通过filesystemobject实现,包括文本文件的读写目录操作、文件的拷贝改名删除等,但是这个东东也很危险。利用filesystemobjet可以篡改下载fat分区上的任何文件,即使是ntfs,如果权限没有设定好的话,同样也能破坏,遗憾的是很多webmaster只知道让web服务器运行起来,很少对ntfs进行权限设置。

  比如,一台提供虚拟主机服务的web服务器,如果权限没有设定好,用户可以轻而易举地篡改删除机器上地任何文件,甚至让nt崩溃。

  程序请参考http://www.chinaasp.com/上的active server explorer,该程序可以浏览不设防web服务器的所有文件和目录。

  webmater应该将web目录建 tfs分区上,非web目录不要使用everyone full control,而应该是administrator才可以full control。

警告:任何人不得利用此程序攻击他人的站点。

时间: 2024-12-24 20:13:51

ASP:Hack & Anti-Hack的相关文章

CSS技巧:关于CSS Hack与float闭合(清除浮动)

核心提示:CSS技巧:关于CSS Hack与float闭合 一.CSS HACK 以下两种方法几乎能解决现今所有HACK. 1, !important 随着IE7对!important的支持, !important 方法现在只针对IE6的HACK.(注意写法.记得该声明位置需要提前.) 2, IE6/IE77对FireFox *+html 与 *html 是IE特有的标签, firefox 暂不支持.而*+html 又为 IE7特有标签. <style>#wrapper{#wrapper {

Ajax Hack 之hack 11 动态产生样式

ajax|动态 Ajax Hack 之hack 11 动态产生样式 为web内容动态定义和制定CSS样式. JavaScript和DOM编程允许用户定义CSS样式属性,并应用于页面元素.一个典型的例子是一个wiki页面允许用户设计自己页面的方案和样式. 通常情况下,比较好的方法是将样式定义从JavaScript代码中分离出来.这样的习惯可以使元素独立扩展,降低web页面元素的复杂性,使之更高效. 本hack和上一个相似,根据用户选择的样式,动态显示服务器信息.和前一个不同之处就是:这里是在代码里

Ajax Hack 之hack 12不刷新浏览器的情况下向服务器提交text或textarea的值

ajax|服务器|浏览器|刷新 Ajax Hack 之hack 12不刷新浏览器的情况下向服务器提交text或textarea的值 本节主要讲的是:将text或textarea的值平滑地传递给服务器. 当用户输入text或textarea的值以后,Ajax能将这些值自动的发给服务器.程序等待text的onblur 事件,然后使用request对象向服务器发送数据.在常用的情况是,用户点击一个按钮,然后将 整个form作为一个大的数据包向服务器发送.服务器相应也与此类似.例如,在线测试或者 教程能

Ajax Hack 之hack 13 在text或textarea里显示服务器信息

ajax|服务器|显示 Ajax Hack 之hack 13 在text或textarea里显示服务器信息 本hack讲的是不刷新页面显示服务器信息. 用户可以通过输入text和服务器组件交互而不用每次都等待页面的刷新.一个典型的例子就是拼写检测或自动完成field[Hack #78].使用request 对象作为媒介,服务器组件可以和用户之间实时交互. 本hack显示一个自动的服务器响应,响应无刷新的显示在text中.本hack是[Hack #12]的扩展,该hack使用request对象将用

弱弱问下:asp:Button如何设置背景。

问题描述 弱弱问下:asp:Button如何设置背景.(C#) 解决方案 解决方案二:你用CSS写个你想要设置的背景,,然后在asp:Button的CssClass属性里面把你这css的名字填进去就可以了.解决方案三:好像有时候背景色要先设置透明解决方案四:换成ImageButton解决方案五:<buttonid="btn"name="mybtn"style="background:******"></button>这样就

asp:textbox大小控制

问题描述 是这样的,写了一个留言框,用的是asp:textbox,multiline的,但是发现这个box在网页上是可以调整大小的,右下角有一个调整大小的东东,我想固定大小没有类似resizable这样的属性来控制吗? 解决方案 解决方案二:<asp:TextBoxID="textBox1"runat="server"style="width:200px;height:100px;max-width:200px;max-height:100px;&q

学习ASP:献给学习小偷程序的朋友

程序|小偷程序 很久没写过东西了,今天看了chinahuman 的<用asp自动解析网页中的图片地址,并将其保存到本地服务器>,于是优化了这个程序,并且将所有的功能都函数化了,希望对学习 XMLHTTP 的朋友有所帮助. 程序实现功能:自动将远程页面的文件中的图片下载到本地. <% '将本文保存为 save2local.asp '测试:save2local.asp?url=http://ent.sina.com.cn/s/m/2003-11-11/1411231388.html '本文根

初学ASP:入门经验谈

初学|入门经验|初学|入门经验     一.VBScript语法简介 VBScript语句是一种基于VB的一种脚本语言,主要用于WEB服务器端的程序开发,我们这里只介绍一些简单的语句,主要是操作数据库的几种常见的语句 <1>.vbscript的标识 <% 语句 -- %> <2>定义变量dim语句 <% dim a,b a=10 b="ok!"%> 注意:定义的变量可以是数值型,也可以是字符或者其他类型的 <3>简单的控制流程

ASP:利用ASP把图片上传到数据库

ASP(Active Server Pages)是Microsoft很早就推出的一种WEB应用程序解决方案,也是绝大多数从事网站开发人员很熟悉的一个比较简单的编程环境.通过ASP我们可以创建功能强大的动态的WEB应用程序.ASP虽然功能很强大,但有些功能用纯ASP代码完成不了,为了能保证开发出功能更加强大的WEB应用程序,我们可以借助调用COM组件. 在日常工作中,例如开发一个"商品网上销售系统"吧,为了使顾客对商品的外观有所了解,也就是顾客在看商品的文字介绍的同时在文字的旁边有该商品