当前位置：清风网络学院 → 网络编程 → ASP → ASP网络安全


	精品推荐


特别推荐

·ASP技巧：使用FSO自动创建多级文件夹的函数

·轻松建站主流ASP内容管理系统

·ASP教程：透彻掌握ASP分页技术


热点TOP10

·了解MSMQ，控制ASP进程（一）

·用ASP对网页进行限制性的访问

·实现session登陆时间的验证,验证用户登录页面的一个监听器

·Java基础：常用的匹配正则表达式和实例

·smarty实例教程

·ASP基础教程之ASP程序对Cookie的处理

·实例详细讲解ASP教程之ASP中使用变量的方法

·ASP入门：认识ASP程序所使用的几种脚本语言

·ASP入门知识：简单介绍ASP的基础知识

·ASP技巧：ASP中三个常用语句的使用技巧

ASP网络安全

日期：2008年1月4日作者：清风网络学院查看:[大字体中字体小字体]

param=param&";dbq="&server.mappath("employer1.mdb")
conn.open param

这样即使他人得到了employer1.mdb文件，没有密码他是无法看到employer1.mdb的。

3 code.asp文件会泄漏ASP代码

问题描述：

举个很简单的例子，在微软提供的 ASP1.0 的例程里有一个 .asp 文件专门用来查看其它 .asp 文件的源代码，该文件为 ASPSamp/Samples/code.asp。如果有人把这个程序上传到服务器，而服务器端没有任何防范措施的话，他就可以很容易地查看他人的程序。例如 :
　　code.asp?source=/directory/file.asp
不过这是个比较旧的漏洞了，相信现在很少会出现这种漏洞。
下面这命令是比较新的：
http://someurl/iissamples/exair/howitworks/code.asp?/lunwen/soushuo.asp=xxx.asp
最大的危害莫过于asa文件可以被上述方式读出；数据库密码以明文形式暴露在黑客眼前;

问题解决或建议：

对于IIS自带的show asp code的asp程序文件，删除该文件或者禁止访问该目录即可

4、filesystemobject 组件篡改下载 fat 分区上的任何文件的漏洞

问题描述：

　　IIS3、 IIS4 的 ASP 的文件操作都可以通过 filesystemobject 实现，包括文本文件的读写目录操作、文件的拷贝改名删除等，但是这个强大的功能也留下了非常危险的 "后门"。利用 filesystemobjet 可以篡改下载 fat 分区上的任何文件。即使是 ntfs 分区，如果权限没有设定好的话，同样也能破坏，一不小心你就可能遭受"灭顶之灾 "。遗憾的是很多 webmaster 只知道让 web 服务器运行起来，很少对 ntfs 进行权限设置，而 NT 目录权限的默认设置偏偏安全性又低得可怕。因此，如果你是 Webmaster，建议你密切关注服务器的设置，尽量将 web 目录建在 ntfs 分区上，目录不要设定 everyone full control，即使是是管理员组的成员一般也没什么必要 full control，只要有读取、更改权限就足够了。也可以把filesystemobject的组件删除或者改名。

5、输入标准的HTML语句或者javascript语句会改变输出结果

问题描述：

在输入框中打入标准的HTML语句会得到什么相的结果呢？比如一个留言本，我们留言内容中打入：

<font size=10>你好！</font>

如果你的ASP程序中没有屏蔽html语句，那么就会改变"你好"字体的大小。在留言本中改变字体大小和贴图有时并不是什么坏事，反而可以使留言本生动。但是如果在输入框中写个 javascript 的死循环，比如：<a herf="http://someurl" onMouseover="while(1){window.close(/)}">特大新闻</a>
那么其他查看该留言的客人只要移动鼠标到"特大新闻"，上就会使用户的浏览器因死循环而死掉。

解决方法和建议：

编写类似程序时应该做好对此类操作的防范，譬如可以写一段程序判断客户端的输入，并屏蔽掉所有的 HTML、 Javascript 语句。

6、ASP程序密码验证漏洞

漏洞描述：

很多网站把密码放到数据库中，在登陆验证中用以下sql,(以asp为例）
sql="select * from user where username="&username&"and pass="& pass &"
此时，您只要根据sql构造一个特殊的用户名和密码，如：ben or 1=1
就可以进入本来你没有特权的页面。再来看看上面那个语句吧：
sql="select * from user where username="&username&"and pass="& pass&"
此时，您只要根据sql构造一个特殊的用户名和密码，如：ben or 1=1
这样,程序将会变成这样: sql="select*from username where username="&benor1=1&"and pass="&pass&"

上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] 下一页

上一篇:数据库设计范式

下一篇:教你如何编写游戏外挂

·请问网络路由器的接口种类有哪些？

·从零开始学黑客：网络黑客新手入门指南

·微软.NET战略延深蓄谋打造下一代网络门户

·计算机等级考试三级网络技术复习提纲(下)

·网络赚钱常见误区

·网络速度我做主，限制带宽小技巧

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.viphot.com All Rights Reserved.	鄂ICP备05000083号Powered by:viphot