ASP网页编程之ASP Hack & Anti-Hack (经由过程asp进...
对用户来说可预见费用、节约费用,可以做到花少钱办大事。由于省去了购买软件和硬件等的前期费用,用户可以租用较高级的应用软件。ASP的收费是根据软件的类型、客制化程度、用户数量、服务期限来定的,对客户来说这笔费用是可以预见的。方便于客户应用软件的升级。server|webASPHack&Anti-Hack本文次要叙及有关asp/iis的平安性成绩及其响应对策,不倡始网友利用本文说起的
办法举行任何损坏,不然带来的成果自信
经由过程asp进侵webserver,夺取文件损坏体系,这决非骇人听闻...
iis的平安性成绩
1.iis3/pws的毛病
我实行过,win95+pws上运转ASP程序,只须在扫瞄器地点栏内多加一个小数点
ASP程序就会被下载上去。IIS3传闻也有一样的成绩,不外我没有试出来。
2.iis4的毛病
iis4一个广为人知的毛病是::$DATA,就是ASP的url后多加这几个字符后,代码
也能够被看到,利用ie的viewsource就可以看到asp代码。win98+pws4没有这个成绩。
办理的举措有几种,一是将目次设置为不成读(ASP仍能实行),如许html文件
就不克不及放在这个目次下,不然html不克不及扫瞄。二是安装微软供应的补钉程序。三是
在服务器上安装ie4.01sp1。
3.撑持ASP的收费主页面对的成绩
你的ASP代码大概被人失掉。
ASP1.0的例子里有一个文件用来检察ASP原代码,/ASPSamp/Samples/code.asp
假如有人把这个程序弄上往了,他就能够检察他人的程序了。
比方:code.asp?source=/someone/aaa.asp
你利用的ACCESS数据库大概被人下载
既然ASP程序能够被人失掉,他人就可以十拿九稳的晓得你的数据库放在那边,
并下载它,假如数据库里含有的暗码不加密,那...就很伤害了。
webmaster应当接纳必定的措施,严禁code.asp之类的程序(仿佛很难办到,
但能够按期检索特性代码),限定mdb的下载(不知行不可)
4.来自filesystemobject的威逼
IIS4的ASP的文件操纵能够经由过程filesystemobject完成,包含文本文件的读写
目次操纵、文件的拷贝更名删除等,可是这个东东也很伤害。使用filesystemobjet
能够改动下载fat分区上的任何文件,即便是ntfs,假如权限没有设定好的话,一样也能
损坏,遗憾的是良多webmaster只晓得让web服务器运转起来,很少对ntfs举行权限设置。
好比,一台供应假造主机服务的web服务器,假如权限没有设定好,用户能够
十拿九稳地改动删除呆板上地任何文件,乃至让nt溃散。
程序请参考http://www.pridechina.com/chinaasp/上的activeserverexplorer,
该程序能够扫瞄不设防web服务器的一切文件和目次。
webmater应当将web目次建在ntfs分区上,非web目次不要利用everyonefull
control,而应当是administrator才能够fullcontrol。
5.ASP使用程序大概面对的打击
飞鸟主页http://flybird-home.yeah.net上的留言本、wwwbbs程序数次遭到
javascript炸弹的打击,很遗憾他们都失利了,好比有人写〈script〉dowhile(true)
alert();〈/script〉,但只显现了源码。缘故原由在于飞鸟的程序将〈〉转化了。
撑持javascript当然可让人家利用带色彩字体花梢的留言,但我更注意于"平安
第一":)
---------------------------------------------------
接待斧正本文中存在的毛病。
飞鸟(veryhard)
来自http://www.onlinechina.net/friend/flybird/
接待观光
飞鸟之家:http://www.onlinechina.net/friend/flybird/bbs/
CHINAASP:http://www.pridechina.com/chinaasp/</p>缺点:安全性不是太差了,还行,只要你充分利用系统自带的工具;唯一缺点就是执行效率慢,如何进行网站优化以后,效果会比较好。 尽管MS自己讲C#内核中更多的象VC,但实际上我还是认为它和Java更象一些吧。首先它是面向对象的编程语言,而不是一种脚本,所以它具有面向对象编程语言的一切特性,比如封装性、继承性、多态性等等,这就解决了刚才谈到的ASP的那些弱点。 我想问如何掌握学习节奏(先学什么再学什么)最好详细点? 代码逻辑混乱,难于管理:由于ASP是脚本语言混合html编程,所以你很难看清代码的逻辑关系,并且随着程序的复杂性增加,使得代码的管理十分困难,甚至超出一个程序员所能达到的管理能力,从而造成出错或这样那样的问题。 我可以结合自己的经验大致给你说一说,希望对你有所帮助,少走些弯路。 Application:这个存储服务端的数据,如果不清除,会直到web应用程序结束才清除(例如重启站点) 那么,ASP.Net有哪些改进呢? 我可以结合自己的经验大致给你说一说,希望对你有所帮助,少走些弯路。 我可以结合自己的经验大致给你说一说,希望对你有所帮助,少走些弯路。 我们必须明确一个大方向,不要只是停留在因为学而去学,我们应有方向应有目标.
页:
[1]