当前位置: 首页 > 图文教程 > 网络编程 > ASP > 网站ASP漏洞小总结

ASP
ASP 3.0高级编程(二十七)
ASP 3.0高级编程(二十八)
ASP 3.0高级编程(二十九)
ASP 3.0高级编程(三十)
ASP中时间函数的使用(一)
ASP中时间函数的使用(二)
ASP中时间函数的使用(三)
.NET之ASP WebApplication快速入门(1)
.NET之ASP WebApplication快速入门(2)
.NET之ASP WebApplication快速入门(3)
.NET之ASP WebApplication快速入门(4)
.NET之ASP WebApplication快速入门(5)
asp.NET特写
ASP 3.0高级编程(七)
ASP 3.0高级编程(八)
ASP.NET 入门的五个步骤
ASP 组件指南
XML 数据的编码方式
ASP 3.0高级编程(九)
ASP 3.0高级编程(十)

网站ASP漏洞小总结


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-03   浏览: 103 ::
收藏到网摘: n/a

       1. iis3/pws的漏洞
    Win95+pws上运行ASP程序,只需在浏览器地址栏内多加一个小数点ASP程序就会被下载下来。
  
  
  
    2. iis4的漏洞
    iis4一个广为人知的漏洞是:$DATA,就是ASP的URL后多加这几个字符后,代码也可以被看到,使用IE的view source就能看到ASP代码。Win98+PWS4没有这个问题。
  
    解决这个问题的办法有几种:一是将目录设置为不可读(ASP仍能执行),这样html文件就不能放在这个目录下,否则html不能浏览;二是安装微软提供的补丁程序;三是在服务器上安装ie4.01sp1。
  
  
  
    3. 支持ASP的免费主页面临的问题
    ASP1.0的例子里有一个文件用来查看ASP源代码,/ASPSamp/Samples/code.asp。如果有人把这个程序上传到网站上去了,他就可以查看别人的程序了。
  
    既然ASP程序可以被人得到,别人就能轻而易举地知道你的数据库放在何处,网站的ACCESS数据库可能被人下载。
  
  
  
    4.来自filesystemobject的威胁
    iis4的ASP的文件操作可以通过file system object实现,包括文本文件的读写、目录操作、文件的拷贝改名删除等。利用filesystemobjet可以篡改下载FAT分区上的任何文件,即使是ntfs,如果权限没有设定好的话,同样也能破坏 。网络管理员应该将web目录建在ntfs分区上,非web目录不要使用完全控制,而应该是网络管理员才可以完全控制。