<html>
<head>
<meta HTTP-EQUIV="Content-Type" content="text/html; charset=gb_2312">
<style>
body {
font-size: 75%;
font-family: 宋体;
}
.smallFont{
font-size:9pt;
}
p{
font-size:9pt;
}
li{
font-size:9pt;
}
BigFont{
font-size:11pt;
}
</style>
<title>论 坛 心 声</title>
</head>
<body>
<p align='center'><font color=darkblue><strong>ASP Hack & Anti-Hack (通过asp入侵web server,窃取文件毁坏系统,这决非耸人听闻...)</strong></font></p>
<hr size='1'>
ASP Hack & Anti-Hack <br>
<br>
本文主要叙及有关asp/iis的安全性问题及其相应对策,不提倡网友使用本文提及的<br>
方法进行任何破坏,否则带来的后果自负<br>
<br>
通过asp入侵web server,窃取文件毁坏系统,这决非耸人听闻...<br>
<br>
iis的安全性问题<br>
1.iis3/pws的漏洞<br>
我实验过,win95+pws上运行ASP程序,只须在浏览器地址栏内多加一个小数点<br>
ASP程序就会被下载下来。IIS3听说也有同样的问题,不过我没有试出来。<br>
2.iis4的漏洞<br>
iis4一个广为人知的漏洞是::$DATA,就是ASP的url后多加这几个字符后,代码<br>
也可以被看到,使用ie的view source就能看到asp代码。win98+pws4没有这个问题。<br>
解决的办法有几种,一是将目录设置为不可读(ASP仍能执行),这样html文件<br>
就不能放在这个目录下,否则html不能浏览。二是安装微软提供的补丁程序。三是<br>
在服务器上安装ie4.01sp1。<br>
<br>
3.支持ASP的免费主页面临的问题<br>
你的ASP代码可能被人得到。<br>
ASP1.0的例子里有一个文件用来查看ASP原代码,/ASPSamp/Samples/code.asp<br>
如果有人把这个程序弄上去了,他就可以查看别人的程序了。<br>
例如: code.asp?source=/someone/aaa.asp<br>
<br>
你使用的ACCESS数据库可能被人下载<br>
既然ASP程序可以被人得到,别人就能轻而易举的知道你的数据库放在何处,<br>
并下载它,如果数据库里含有的密码不加密,那...就很危险了。<br>
webmaster应该采取一定的措施,严禁code.asp之类的程序(似乎很难办到,<br>
但可以定期检索特征代码),限制mdb的下载(不知行不行)<br>
<br>
4.来自filesystemobject的威胁<br>
IIS4的ASP的文件操作可以通过filesystemobject实现,包括文本文件的读写<br>
目录操作、文件的拷贝改名删除等,但是这个东东也很危险。利用filesystemobjet<br>
可以篡改下载fat分区上的任何文件,即使是ntfs,如果权限没有设定好的话,同样也能<br>
破坏,遗憾的是很多webmaster只知道让web服务器运行起来,很少对ntfs进行权限设置。<br>
比如,一台提供虚拟主机服务的web服务器,如果权限没有设定好,用户可以<br>
轻而易举地篡改删除机器上地任何文件,甚至让nt崩溃。<br>
程序请参考http://www.pridechina.com/chinaasp/上的active server explorer,<br>
该程序可以浏览不设防web服务器的所有文件和目录。 <br>
webmater应该将web目录建在ntfs分区上,非web目录不要使用everyone full <br>
control,而应该是administrator才可以full control。<br>
<br>
5.ASP应用程序可能面临的攻击<br>
飞鸟主页http://flybird-home.yeah.net上的留言本、www bbs程序数次遭到<br>
javascript炸弹的攻击,很遗憾他们都失败了,比如有人写〈script〉do while(true) <br>
alert();〈/script〉,但只显示了源码。原因在于飞鸟的程序将〈〉转化了。<br>
支持javascript固然可以让人家使用带颜色字体花哨的留言,但我更注重于"安全<br>
第一" :) <br>
<br>
---------------------------------------------------<br>
欢迎指正本文中存在的错误。<br>
飞鸟 (veryhard)<br>
来自http://www.onlinechina.net/friend/flybird/<br>
欢迎参观<br>
<a href="http://www.onlinechina.net/friend/flybird/">飞鸟之家 </a><br>
<a href="http://www.pridechina.com/chinaasp/">CHINA ASP</a>
</body>
</html>
没有合适的资源?快使用搜索试试~ 我知道了~
ASP精品屋 Active Server Explorer 加强版
共34个文件
gif:17个
asp:10个
htm:4个
需积分: 50 13 下载量 10 浏览量
2004-08-30
01:33:12
上传
评论
收藏 37KB RAR 举报
温馨提示
ASP精品屋 Active Server Explorer 加强版,用ASP技术直接管理服务器上的文件
资源推荐
资源详情
资源评论
收起资源包目录
20040830013579.rar (34个子文件)
asphousease1
asphousease1
images
asp400.jpg 6KB
txt.gif 1KB
folder.gif 125B
blank.gif 49B
ofolder.gif 887B
gif.gif 1KB
flag60.gif 3KB
execute.gif 551B
asp.gif 1KB
perl.gif 896B
zip.gif 1008B
explorer.gif 935B
open.gif 887B
jpg.gif 1KB
html.gif 1KB
unknown.gif 1KB
exe.gif 889B
edit.gif 998B
move.asp 778B
path.htm 499B
copy.asp 726B
folders.asp 3KB
toolbar.htm 2KB
default.htm 471B
about.htm 2KB
copy2.asp 2KB
asphack.html 4KB
download.asp 75B
fileop.asp 2KB
command.asp 495B
delete.asp 1KB
ase.css 590B
move2.asp 2KB
files.asp 6KB
共 34 条
- 1
资源评论
xintc110
- 粉丝: 0
- 资源: 1953
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- libjpeg 编译所需的 Win32.mak vs编译libjpeg
- 自动驾驶-状态估计和定位-粒子滤波实现和源码.pdf
- 数据可视化-智慧物流服务中心大屏页面.zip
- yolov5,SSD 可能使用到的一些代码
- bbbbbbbbbbbbbbbbbb
- 安卓逆向学习笔记之Frida Stalker 还原OLLVM AES.docx
- 安卓逆向学习笔记之unicorn来trace还原OLLVM Base64.docx
- 基于jquery的自定义表格组件实现
- Nessus最新20240426离线安装插件all-2.0.tar.gz
- 最新版本私钥助记词碰撞器大富豪使用python进行制作通过接口的方式进行验证支持多币种多链多网络一分钟万次验证高出货率
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功