仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 467|回复: 8
打印 上一主题 下一主题

[学习教程] ASP网页编程之构建免受FSO组件威逼假造主机

[复制链接]
萌萌妈妈 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-16 22:30:51 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
ASP最大的缺点在于网络的安全性和可靠性,企业将经营数据放在开放的平台上,最大的担忧就是如何保证这些数据不被其他人破坏。如今尽年夜多半的假造主机都禁用了ASP的尺度组件:FileSystemObject,由于这个组件为ASP供应了壮大的文件体系会见才能,能够对服务器硬盘上的任何文件举行读、写、复制、删除、更名等操纵(固然,这是指在利用默许设置的WindowsNT/2000下才干做到)。可是克制此组件后,引发的成果就是一切使用这个组件的ASP将没法运转,没法满意客户的需求。
  怎样既同意FileSystemObject组件,又不影响服务器的平安性(即:分歧假造主机用户之间不克不及利用该组件读写他人的文件)呢?这里先容自己在实行中取得的一种办法,下文以Windows2000Server为例来讲明。
  在服务器上翻开资本办理器,用鼠标右键点击各个硬盘分区或卷的盘符,在弹出菜单当选择“属性”,选择“平安”选项卡,此时就能够看到有哪些帐号能够会见这个分区(卷)及会见权限。默许安装后,呈现的是“Everyone”具有完整把持的权限。点“增加”,将“Administrators”、“BackupOperators”、“PowerUsers”、“Users”等几个组增加出来,并赐与“完整把持”或响应的权限,注重,不要给“Guests”组、“IUSR_呆板名”这几个帐号任何权限。然后将“Everyone”组从列表中删除,如许,就只要受权的组和用户才干会见此硬盘分区了,而ASP实行时,是以“IUSR_呆板名”的身份会见硬盘的,这里没给该用户帐号权限,ASP也就不克不及读写硬盘上的文件了。
  上面要做的就是给每一个假造主机用户设置一个独自的用户帐号,然后再给每一个帐号分派一个同意其完整把持的目次。
  以下图所示,翻开“盘算机办理”→“当地用户和组”→“用户”,在右栏中点击鼠标右键,在弹出的菜单当选择“新用户”:

  在弹出的“新用户”对话框中依据实践必要输出“用户名”、“全名”、“形貌”、“暗码”、“确认暗码”,并将“用户下次登录时须变动暗码”前的对号往失落,选中“用户不克不及变动暗码”和“暗码永不外期”。本例是给第一假造主机的用户创建一个匿名会见Internet信息服务的内置帐号“IUSR_VHOST1”,即:一切客户端利用http://xxx.xxx.xxxx/会见此假造主机时,都是以这个身份来会见的。输出完成后点“创立”便可。能够依据实践必要,创立多个用户,创立终了后点“封闭”:


如今新创建的用户已呈现在帐号列表中了,在列表中双击该帐号,以便进一步举行设置:


在弹出的“IUSR_VHOST1”(即方才创立的新帐号)属性对话框中点“从属于”选项卡:


刚创建的帐号默许是属于“Users”组,选中该组,点“删除”:


如今呈现的是以下图所示,此时再点“增加”:


在弹出的“选择组”对话框中找到“Guests”,点“增加”,此组就会呈现鄙人方的文本框中,然后点“断定”:[www.ckuyun.com]


呈现的就是以下图所示的内容,点“断定”封闭此对话框:


  翻开“Internet信息服务”,入手下手对假造主机举行设置,本例中的以对“第一假造主机”设置为例举行申明,右击该主机名,在弹出的菜单当选择“属性”:


  弹出一个“第一假造主机属性”的对话框,从对话框中能够看到该假造主机用户的利用的是“F:VHOST1”这个文件夹:


  临时先不论方才的“第一假造主机属性”对话框,切换到“资本办理器”,找到“F:VHOST1”这个文件夹,右击,选“属性”→“平安”选项卡,此时能够看到该文件夹的默许平安设置是“Everyone”完整把持(视分歧情形显现的内容不完整一样),起首将最将下的“同意未来自父系的可承继权限传布给该工具”后面的对号往失落:


此时会弹出以下图所示的“平安”告诫,点“删除”:


  此时平安选项卡中的一切组和用户都将被清空(假如没有清空,请利用“删除”将其清空),然后点“增加”按钮。


  将如图中所示的“Administrator”及在后面所创立的新帐号“IUSR_VHOST1”增加出去,将赐与完整把持的权限,还能够依据实践必要增加其他组或用户,但必定不要将“Guests”组、“IUSR_呆板名”这些匿名会见的帐号增加上往!


  再切换到后面翻开的“第一假造主机属性”的对话框,翻开“目次平安性”选项卡,点匿名会见和考证把持的“编纂”:


 在弹出的“考证办法”对方框(以下图所示),点“编纂”:


  弹出了“匿名用户帐号”,默许的就是“IUSR_呆板名”,点“扫瞄”:


  在“选择用户”对话框中找到后面创立的新帐号“IUSR_VHOST1”,双击:


  此时匿名用户名就悔改来了,在暗码框中输出后面创立时,为该帐号设置的暗码:


  再断定一遍暗码:

  OK,完成了,点断定封闭这些对话框。
  经此设置后,“第一假造主机”的用户,利用ASP的FileSystemObject组件也只能会见本人的目次:F:VHOST1下的内容,当试图会见其他内容时,会呈现诸如“没有权限”、“硬盘未筹办好”、“500服务器外部毛病”等堕落提醒了。
  另:假如该用户必要读取硬盘的分区容量及硬盘的序列号,那如许的设置将使其没法读取。假如要同意其读取这些和全部分区有关的内容,请右键点击该硬盘的分区(卷),选择“属性”→“平安”,将这个用户的帐号增加到列表中,并最少赐与“读取”权限。因为该卷下的子目次都已设置为“克制未来自父系的可承继权限传布给该工具”,以是不会影响上面的子目次的权限设置。

源代码保护方面其实现在考虑得没那么多了..NET也可以反编译.ASP写得复杂的话别人能看得懂的话.他也有能力自己写了.这方面担心的倒不太多.纵观现在网上可以下载的那些所谓BBS还有什么网站等等的源代码
兰色精灵 该用户已被删除
沙发
发表于 2015-1-19 15:57:57 | 只看该作者
我认为比较好的方法是找一些比较经典的例子,每个例子比较集中一种编程思想而设计的。
第二个灵魂 该用户已被删除
板凳
发表于 2015-1-28 07:50:33 来自手机 | 只看该作者
从事这个行业,那么你可以学ASP语言,简单快速上手,熟练dreamweav排版,写asp代码,熟练photoshop处理图片,打好基础就行了
蒙在股里 该用户已被删除
地板
发表于 2015-2-5 19:41:18 | 只看该作者
交流是必要的,不管是生活还是学习我们都要试着去交流,通过交流我们可以学到很多我们自己本身所没有的知识,可以分享别人的经验甚至经历。
简单生活 该用户已被删除
5#
发表于 2015-2-13 08:46:51 | 只看该作者
Server:这个表示的服务器,操作服务器的一些东西使用这个,如Server.Mappath转换服务器路径,Server.CreateObject实例化一个组件
飘灵儿 该用户已被删除
6#
发表于 2015-3-3 19:43:29 | 只看该作者
兴趣爱好,那么你无须学编程,申请一个域名和空间,在网上下载一些免费开源的CMS系统,你不用改代码,只须熟悉它们的后台操作,像office一样简单方便,很快就能建一个站点,很多站长都是这样做的
海妖 该用户已被删除
7#
发表于 2015-3-11 13:16:08 | 只看该作者
掌握asp的特性而且一定要知道为什么。
乐观 该用户已被删除
8#
发表于 2015-3-18 16:37:11 | 只看该作者
ASP(ActiveServerPages)是Microsfot公司1996年11月推出的WEB应用程序开发技术,它既不是一种程序语言,也不是一种开发工具,而是一种技术框架,不须使用微软的产品就能编写它的代码,能产生和执行动态、交互式、高效率的站占服务器的应用程序。
山那边是海 该用户已被删除
9#
发表于 2015-3-26 06:35:31 | 只看该作者
ASP.Net摆脱了以前ASP使用脚本语言来编程的缺点,理论上可以使用任何编程语言包括C++,VB,JS等等,当然,最合适的编程语言还是MS为.NetFrmaework专门推出的C(读csharp),它可以看作是VC和Java的混合体吧。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-23 10:26

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表