ASP精品屋ActiveServerExplorer加强版资源-CSDN文库

共34个文件

gif：17个

asp：10个

htm：4个

全站代码

需积分: 50 10 浏览量 2004-08-30 01:33:12 上传评论收藏 37KB RAR 举报

资源推荐

资源详情

资源评论

收起资源包目录

20040830013579.rar （34个子文件）

asphousease1

images

asp400.jpg 6KB

txt.gif 1KB

folder.gif 125B

blank.gif 49B

ofolder.gif 887B

gif.gif 1KB

flag60.gif 3KB

execute.gif 551B

asp.gif 1KB

perl.gif 896B

zip.gif 1008B

explorer.gif 935B

open.gif 887B

jpg.gif 1KB

html.gif 1KB

unknown.gif 1KB

exe.gif 889B

edit.gif 998B

move.asp 778B

path.htm 499B

copy.asp 726B

folders.asp 3KB

toolbar.htm 2KB

default.htm 471B

about.htm 2KB

copy2.asp 2KB

asphack.html 4KB

download.asp 75B

fileop.asp 2KB

command.asp 495B

delete.asp 1KB

ase.css 590B

move2.asp 2KB

files.asp 6KB

<html> <head> <meta HTTP-EQUIV="Content-Type" content="text/html; charset=gb_2312"> <style> body { font-size: 75%; font-family: 宋体; } .smallFont{ font-size:9pt; } p{ font-size:9pt; } li{ font-size:9pt; } BigFont{ font-size:11pt; } </style> <title>论坛心声</title> </head> <body> ASP Hack & Anti-Hack （通过asp入侵web server,窃取文件毁坏系统，这决非耸人听闻...） <hr size='1'>     ASP Hack & Anti-Hack         本文主要叙及有关asp/iis的安全性问题及其相应对策，不提倡网友使用本文提及的 方法进行任何破坏，否则带来的后果自负     通过asp入侵web server,窃取文件毁坏系统，这决非耸人听闻...     iis的安全性问题     1.iis3/pws的漏洞     我实验过，win95+pws上运行ASP程序，只须在浏览器地址栏内多加一个小数点 ASP程序就会被下载下来。IIS3听说也有同样的问题，不过我没有试出来。     2.iis4的漏洞     iis4一个广为人知的漏洞是::$DATA，就是ASP的url后多加这几个字符后，代码 也可以被看到，使用ie的view source就能看到asp代码。win98+pws4没有这个问题。     解决的办法有几种，一是将目录设置为不可读（ASP仍能执行），这样html文件 就不能放在这个目录下，否则html不能浏览。二是安装微软提供的补丁程序。三是 在服务器上安装ie4.01sp1。          3.支持ASP的免费主页面临的问题     你的ASP代码可能被人得到。     ASP1.0的例子里有一个文件用来查看ASP原代码，/ASPSamp/Samples/code.asp     如果有人把这个程序弄上去了，他就可以查看别人的程序了。     例如: code.asp?source=/someone/aaa.asp          你使用的ACCESS数据库可能被人下载     既然ASP程序可以被人得到，别人就能轻而易举的知道你的数据库放在何处， 并下载它，如果数据库里含有的密码不加密，那...就很危险了。     webmaster应该采取一定的措施，严禁code.asp之类的程序（似乎很难办到， 但可以定期检索特征代码），限制mdb的下载（不知行不行）     4.来自filesystemobject的威胁     IIS4的ASP的文件操作可以通过filesystemobject实现，包括文本文件的读写 目录操作、文件的拷贝改名删除等，但是这个东东也很危险。利用filesystemobjet 可以篡改下载fat分区上的任何文件，即使是ntfs，如果权限没有设定好的话，同样也能 破坏，遗憾的是很多webmaster只知道让web服务器运行起来，很少对ntfs进行权限设置。     比如，一台提供虚拟主机服务的web服务器，如果权限没有设定好，用户可以 轻而易举地篡改删除机器上地任何文件，甚至让nt崩溃。     程序请参考http://www.pridechina.com/chinaasp/上的active server explorer， 该程序可以浏览不设防web服务器的所有文件和目录。        webmater应该将web目录建在ntfs分区上，非web目录不要使用everyone full control,而应该是administrator才可以full control。     5.ASP应用程序可能面临的攻击     飞鸟主页http://flybird-home.yeah.net上的留言本、www bbs程序数次遭到 javascript炸弹的攻击，很遗憾他们都失败了，比如有人写〈script〉do while(true) alert();〈/script〉,但只显示了源码。原因在于飞鸟的程序将〈〉转化了。     支持javascript固然可以让人家使用带颜色字体花哨的留言，但我更注重于"安全 第一" :)         ---------------------------------------------------     欢迎指正本文中存在的错误。     飞鸟 (veryhard)     来自http://www.onlinechina.net/friend/flybird/     欢迎参观         <a href="http://www.onlinechina.net/friend/flybird/">飞鸟之家 </a>         <a href="http://www.pridechina.com/chinaasp/">CHINA ASP</a> </body> </html>

评论收藏

内容反馈