仓酷云

标题: ASP网站制作之网站程序中默许的几个伤害文件 [打印本页]

作者: 再现理想    时间: 2015-1-16 22:17
标题: ASP网站制作之网站程序中默许的几个伤害文件
想法是和程序员的想法不一样的.至于为什么.大家去想一想.跟心理学有关的程序  跟着互联网的衰亡,愈来愈多的人想具有本人的网站,但是很多人都不太懂做网站大概是没工夫做,以是借用他人的源码便成了一种盛行的体例。正由于云云,才作育了云云不屈静的收集天下,由于程序毛病无处不在。
  很多伴侣谈起论坛就起首想到的是动网,由于它的确是国际最优异的ASP论坛程序,以是很多的网站都用动网论坛架设本人的论坛。也正由于动网的普遍利用,以是读它代码研讨毛病的人是愈来愈多,固然毛病是一次又一次的被发明,各网站的办理员是一次又一次的为动网而懊恼,而伤神。
  好了,扯远了,我们这里从动网的安装文件提及,让人人晓得你的网站是怎样被人打击的。
  一.从动网key.asp文件谈起
  动网的key.asp文件仿单是如许写的:
  1、请把紧缩包中的key.asp文件上传到Dvbbs7.1论坛目次下。
  2、运转key.asp后选择您所必要的选项。
  3、注重:利用终了后请点击"删除文件"或在FTP中删除key.asp文件以防留有后门。
  写的够分明了,利用后要删除,但是就是有很多的网站办理员不卖力,将这个伤害的后门放在网站上,直到有一天,有个家伙闯了出去,改了它的首页……..时至昔日,仍有些网站有如许的毛病,不信,我给人人抓个图:


网站的毛病截图

  看图上的你就晓得key.asp究竟是做甚么的啦,它能够将一个网站的办理员材料修正大概增加一个办理员。加了一个办理员后我们能够像一般的办理员一样编纂他人的贴子,新增加一些版块甚么的,这些都不算是严峻的,更严峻的是,前台我们发贴就能够上传图片,尔后台我们能够备份数据库。试想,假如我们把一个ASP木马保留为图片格局上传到网站服务器,然后在背景经由过程备份数据库功效把这个图片备份为一个ASP文件,那末我们就拿到一个webshell了。思绪很明晰,因为我这里讲的是key.asp文件的伤害,就不操纵了,今后的章节会有具体的报告。
  二.由动网key.asp想到的惊云下载体系毛病
  固然,互联网上其实不仅公只要像动网如许的论坛程序,也另有很多别的优异的文章体系、下载体系、留言本体系、博客程序、乃至有整站体系供应下载,笔者前不久研讨惊云下载体系的毛病的时分偶然发明其安装申明谈到用zz.asp安装,安装的时分就是设置站长的账号和暗码,当站长忘了本人的暗码的时分能够经由过程它来修正,正如key.asp一样的功效,可是一不当心被我找到了:


zz.asp文件

  从头设置一个新的账号和暗码,那末这个网站就是你的啦,背景任意你进。背景我们能够使用失掉webshell的办法,今朝网上最为传播的是使用上传毛病失掉webshell,实在笔者经由过程几天的研讨与测试,失掉了别的两种失掉webshell的办法,思绪很天真。总之,不要容易留下后门给他人有隙可乘。
  三.向BBSXP进修
  安装BBSXP论坛的时分,会挪用install.asp来安装,装好了今后我们再把程序上传到网站上往,假如有哪一个家伙还想用下面的办法来打击你,那末他就晓得他错了,写BBSXP的程序员看来是从动网的key.asp事务里学来的呵呵。他在代码时起首检测调试者写的IP与今后再调试的IP,假如不是统一个IP他就会报错,次要代码以下:
  youip="192.168.1.123"您本机的IP地点
  ifadminpassword""andremoteaddryouipthen
  error("<li>为了平安起见,请编纂<fontcolor=red>install.asp</font>内本机的IP地点<li>请把它设置成<fontcolor=red>"&remoteaddr&"</font>")
  endif
  当我们会见一个BBSXP论坛的这个页面的时分,会呈现一个夺目的红叉:


BBSXP检测IP的功效

  小结:
  关于他人的程序,在利用前最好先好好读一下程序的申明,究竟程序是他人写的,写个申明固然是向利用者交代一些相干信息,别的,假如懂点程序,最好改一下好比说背景呀,数据库挪用文件呀之类的,固然,假如你有才能发明毛病,你就为官方补上这些毛病呀!
asp可以轻松地实现对页面内容的动态控制,根据不同的浏览者,显示不同的页面内容。而浏览者一点觉察不出来,就像为他专门制作的页面一样。使用各种各样的组件,asp可以完成无比强大的功能。
作者: 小女巫    时间: 2015-1-18 08:49
还有如何才能在最短的时间内学完?我每天可以有效学习2小时,双休日4小时。
作者: 飘飘悠悠    时间: 2015-1-21 15:18
不能只是将它停留在纸上谈兵的程度上。
作者: 再见西城    时间: 2015-1-30 20:23
封装性使得代码逻辑清晰,易于管理,并且应用到ASP.Net上就可以使业务逻辑和Html页面分离,这样无论页面原型如何改变,业务逻辑代码都不必做任何改动;继承性和多态性使得代码的可重用性大大提高。
作者: 蒙在股里    时间: 2015-2-6 15:52
ASP(ActiveServerPages)是Microsfot公司1996年11月推出的WEB应用程序开发技术,它既不是一种程序语言,也不是一种开发工具,而是一种技术框架,不须使用微软的产品就能编写它的代码,能产生和执行动态、交互式、高效率的站占服务器的应用程序。
作者: 只想知道    时间: 2015-3-5 12:29
用户端的浏览器不需要提供任何别的支持,这样大提高了用户与服务器之间的交互的速度。
作者: 分手快乐    时间: 2015-3-12 07:08
用户端的浏览器不需要提供任何别的支持,这样大提高了用户与服务器之间的交互的速度。
作者: 简单生活    时间: 2015-3-19 18:35
以上是语言本身的弱点,在功能方面ASP同样存在问题,第一是功能太弱,一些底层操作只能通过组件来完成,在这点上是远远比不上PHP/JSP,其次就是缺乏完善的纠错/调试功能,这点上ASP/PHP/JSP差不多。




欢迎光临 仓酷云 (http://ckuyun.com/) Powered by Discuz! X3.2