仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 460|回复: 7
打印 上一主题 下一主题

[学习教程] ASP网页编程之ASP:Hack & Anti-Hack

[复制链接]
简单生活 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-16 22:27:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
asp是基于web的一种编程技术,可以说是cgi的一种。它可以完成以往cgi程序的所有功能,如计数器、留言簿、公告板、聊天室等等。  本文次要叙及有关asp/iis的平安性成绩及其响应对策,不倡始网友利用本文说起的办法举行任何损坏,不然带来的成果自信,经由过程asp进侵webserver,夺取文件损坏体系,这决非骇人听闻...

iis的平安性成绩

1.iis3/pws的毛病

  我实行过,win95+pws上运转ASP程序,只须在扫瞄器地点栏内多加一个小数点ASP程序就会被下载上去。IIS3传闻也有一样的成绩,不外我没有试出来。

2.iis4的毛病
  iis4一个广为人知的毛病是::$DATA,就是ASP的url后多加这几个字符后,代码也能够被看到,利用ie的viewsource就可以看到asp代码。win98+pws4没有这个成绩。

  办理的举措有几种,一是将目次设置为不成读(ASP仍能实行),如许html文件就不克不及放在这个目次下,不然html不克不及扫瞄。二是安装微软供应的补钉程序。三是在服务器上顺次安装sp3+ie4.01sp1+optionpack+sp4。

3.撑持ASP的收费主页面对的成绩

  你的ASP代码大概被人失掉。ASP1.0的例子里有一个文件用来检察ASP原代码,ASPSamp/Samples/code.asp假如有人把这个程序弄上往了,他就能够检察他人的程序了。
比方:code.asp?source=/someone/aaa.asp

  你利用的ACCESS数据库大概被人下载既然ASP程序能够被人失掉,他人就可以十拿九稳的晓得你的数据库放在那边,并下载它,假如数据库里含有的暗码不加密,那...就很伤害了。

  webmaster应当接纳必定的措施,严禁code.asp之类的程序(仿佛很难办到,但能够按期检索特性代码),限定mdb的下载(不知行不可)。

4.来自filesystemobject的威逼

  IIS4的ASP的文件操纵能够经由过程filesystemobject完成,包含文本文件的读写目次操纵、文件的拷贝更名删除等,可是这个东东也很伤害。使用filesystemobjet能够改动下载fat分区上的任何文件,即便是ntfs,假如权限没有设定好的话,一样也能损坏,遗憾的是良多webmaster只晓得让web服务器运转起来,很少对ntfs举行权限设置。

  好比,一台供应假造主机服务的web服务器,假如权限没有设定好,用户能够十拿九稳地改动删除呆板上地任何文件,乃至让nt溃散。

  程序请参考http://www.chinaasp.com/上的activeserverexplorer,该程序能够扫瞄不设防web服务器的一切文件和目次。

  webmater应当将web目次建tfs分区上,非web目次不要利用everyonefullcontrol,而应当是administrator才能够fullcontrol。

告诫:任何人不得使用此程序打击别人的站点。
优点:简单易学、开发速度快、有很多年“历史”,能找到非常多别人做好的程序来用、配合activeX功能强大,很多php做不到的asp+activeX能做到,例如银行安全控件
飘飘悠悠 该用户已被删除
沙发
发表于 2015-1-28 07:11:26 | 只看该作者
ASP(ActiveServerPages)是Microsfot公司1996年11月推出的WEB应用程序开发技术,它既不是一种程序语言,也不是一种开发工具,而是一种技术框架,不须使用微软的产品就能编写它的代码,能产生和执行动态、交互式、高效率的站占服务器的应用程序。
透明 该用户已被删除
板凳
发表于 2015-2-5 18:34:26 | 只看该作者
在平时的学习过程中要注意现学现用,注重运用,在掌握了一定的基础知识后,我们可以尝试做一些网页,也许在开始的时候我们可能会遇到很多问题,比如说如何很好的构建基本框架。
admin 该用户已被删除
地板
发表于 2015-2-13 06:02:21 | 只看该作者
下载一个源代码,然后再下载一个VBScript帮助,在源代码中遇到不认识的函数或是其他什么程序,都可以查帮助进行解决,这样学习效率很高。
兰色精灵 该用户已被删除
5#
发表于 2015-3-3 16:41:24 | 只看该作者
代码的可重用性差:由于是面向结构的编程方式,并且混合html,所以可能页面原型修改一点,整个程序都需要修改,更别提代码重用了。
简单生活 该用户已被删除
6#
 楼主| 发表于 2015-3-11 12:26:13 | 只看该作者
哪些内置对象是可以跳过的,或者哪些属性和方法是用不到的?
深爱那片海 该用户已被删除
7#
发表于 2015-3-18 17:16:20 | 只看该作者
尽管MS自己讲C#内核中更多的象VC,但实际上我还是认为它和Java更象一些吧。首先它是面向对象的编程语言,而不是一种脚本,所以它具有面向对象编程语言的一切特性,比如封装性、继承性、多态性等等,这就解决了刚才谈到的ASP的那些弱点。
再现理想 该用户已被删除
8#
发表于 2015-3-26 08:45:59 | 只看该作者
作为IE上广为流传的动态网页开发技术,ASP以它简单易学博得了广大WEB程序爱好这的青睐,而且它对运行环境和开发品台的不挑剔,以及有大量有效的参考手册,极大的推广了它的发展。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-23 15:50

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表