当前位置: 首页 > 图文教程 > 网络编程 > ASP > ASP漏洞集-MS IIS server的ASP安全缺陷(MS,缺陷)

ASP
asp实现取得数组中的最大值的代码
asp 将日期格式化为需要的格式
asp 下产生任意位数随机密码的代码
asp下返回以千分位显示数字格式化的数值
asp重定向页面的方法总结
asp下去除数组中重复的项的方法
asp下实现 重新排序数字数组的代码
asp 验证输入网址是否有效并可以访问 与正则验证输入网址
asp验证Ip格式的函数
asp实现生成由数字,大写字母,小写字母指定位数的随机数
asp 格式化sql中的like字符串
asp 实现显示所有的服务器变量值的函数
asp 取得用户真实IP,对代理地址仍然有效的函数
asp 通用数据库连接过程函数
asp 字符串截取函数
asp下实现格式化文件大小以MB显示的函数
asp 下用正则表达式检测邮箱格式的函数
asp 实现检测字符串是否为纯字母和数字组合的函数
asp代码实现检测组件是否安装的函数
asp通过JMAIL实现通用发送函数

ASP漏洞集-MS IIS server的ASP安全缺陷(MS,缺陷)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-03   浏览: 173 ::
收藏到网摘: n/a

涉及程序:
Microsoft IIS server
描述:
IIS使有权上传和使用asp程序的用户能更改任何文件
详细:
这是IIS的一个非常严重的漏洞,即使是IIS4.0,仍然没有补上这个漏洞: 你建立
http://www.cnns.net/frankie/text/aspwrite.txt这样一个简单的asp程序取名为write.asp,注意,程序不允许换行!
然后上传到任何一个web目录中(允许脚本执行),如:
http://www.xxx.com/frankie/write.asp
然后在浏览器中输入该地址
这样,将替换首页! 红字黑底,显示: This page was hacked by small-hacker!
解决方案:
没有相关补丁,只能禁止非管理员的用户上传asp程序并执行脚本
安全建议:
管理员应该知道这样一个事实:如果给用户开放ASP上传和脚本执行权限,等于把整个系统的控制权交给了用户。所以绝不要轻易开
放asp的权限给一般用户
相关下载:
http://www.cnns.net/frankie/text/aspwrite.txt