ASP网页设计Html标签带来的平安隐患
asp是基于web的一种编程技术,可以说是cgi的一种。它可以完成以往cgi程序的所有功能,如计数器、留言簿、公告板、聊天室等等。平安|平安隐患 WWW服务是因特网上最主要的服务之一,供应给客户林林总总的信息资本,而把这类信息资本构造起来的一个很主要的器材就是Html超文本言语,然后经由使用的开展就呈现了其他的如UBB等标签可是终极都是以Html代码来完成的。经由研讨发明,即便是最平安的平安代码(已扫除了一般所说的Xss毛病)也没法制止别的一种末路人的打击体例,共同不严厉的程序,大概被人使用发生更年夜的威逼。我们就以如今普遍存在于论坛,文章体系,Blog体系等剧本程序中的标签也就是转化后的"+"请输出要批量删除的用户名。"
ExitSub
EndIf
Sql="selectCOUNT(*)FROMDv_MessagewhereSender="&Request("username")&""
SetRs=Dvbbs.Execute(Sql)
......
这原本是背景的必需要有背景办理权限才干会见的,可是我们机关如许一个Url:
http://bbs.dvbbs.net/admin/messages.asp?action=del&user=;update/**/Dv_User/**/set/**/UserEmail=(select/**/top/**/1/**/
/**/from/**/Dv_admin)/**/where=loveshell;--
大概相似的语句了,然后放到标签里。人人大概以为办理员看本人帖子的大概性也不年夜,可是要晓得论坛短信也是撑持和发帖子一样的标签的,以是假如能给办理员发个短信,在内里机关我们的Img标签只需他一翻开短信就会种招的哦!假如能够和社会工程学联一块,杀人不沾血啊,呵呵!有点遗憾的是似乎动网对&等标记做了转换,人人能够实验冲破,更况且收集上写法不周密的程序何止万万。
4设想力人人赢利都这么辛劳,假如把IMG标签里的地点改成附件下载地点的话,呵呵,说说罢了,没有测试。
5......
再说说对这个成绩怎样进攻,假如想保存这个标签可是又不想出成绩的话,是必要转换的,比如限制后缀必需是jpg,呵呵这能够经由过程URL编码加#JPG饶过,归正我以为假如无限制的话一样平常都是能饶过的,即便你限定了IMG,那好,另有Flash标签呢,另有Rm标签呢?......
进攻和使用都是困难的。
结论:和PHP一样,ASP简单而易于维护,很适合小型网站应用,通过DCOM和MTS技术,ASP甚至还可以完成小规模的企业应用,但ASP的致命缺点就是不支持跨平台的系统,在大型项目开发和维护上非常困难。 多看多学多思。多看一些关于ASP的书籍,一方面可以扩展知识面一方面可以鉴借别人是如何掌握、运用ASP的;多学善于关注别人,向同学老师多多学习,不论知识的大小;多思则是要将学到的知识灵活运用。 完全不知道到底自己学的是什么。最后,除了教程里面说的几个例子,还是什么都不会。 ASP(ActiveServerPages)是Microsfot公司1996年11月推出的WEB应用程序开发技术,它既不是一种程序语言,也不是一种开发工具,而是一种技术框架,不须使用微软的产品就能编写它的代码,能产生和执行动态、交互式、高效率的站占服务器的应用程序。 ASP也是这几种脚本语言中最简单易学的开发语言。但ASP也是这几种语言中唯一的一个不能很好支持跨平台的语言。 因为ASP脚本语言非常简单,因此其代码也简单易懂,结合HTML代码,可快速地完成网站的应用程序。 用户端的浏览器不需要提供任何别的支持,这样大提高了用户与服务器之间的交互的速度。 多看多学多思。多看一些关于ASP的书籍,一方面可以扩展知识面一方面可以鉴借别人是如何掌握、运用ASP的;多学善于关注别人,向同学老师多多学习,不论知识的大小;多思则是要将学到的知识灵活运用。 Session:这个存储跟客户端会话过程的数据,默认20分钟失效 封装性使得代码逻辑清晰,易于管理,并且应用到ASP.Net上就可以使业务逻辑和Html页面分离,这样无论页面原型如何改变,业务逻辑代码都不必做任何改动;继承性和多态性使得代码的可重用性大大提高。
页:
[1]