|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
SQLServer是基于服务器端的中型的数据库,可以适合大容量数据的应用,在功能上管理上也要比Access要强得多。在处理海量数据的效率,后台开发的灵活性,可扩展性等方面强大。办理3code.asp文件会泄露ASP代码
成绩形貌:
举个很复杂的例子,在微软供应的ASP1.0的例程里有一个.asp文件,专门用来检察别的.asp文件的源代码,该文件为
ASPSamp/Samples/code.asp。假如有人把这个程序上传到服务器,而服务器端没有任何提防措施的话,他就能够很简单地检察他
人的程序。比方:
code.asp?source=/directory/file.asp
不外这是个对照旧的毛病了,信任如今很少会呈现这类毛病。
上面这命令是对照新的:
http://someurl/iissamples/exair/howitworks/code.asp?/lunwen/soushuo.asp=xxx.asp
最年夜的伤害莫过于asa文件能够被上述体例读出;数据库暗码以明文情势表露在黑客长远;
成绩办理或倡议:
关于IIS自带的showaspcode的asp程叙文件,删除该文件大概克制会见该目次便可
4、filesystemobject组件改动下载fat分区上的任何文件的毛病
成绩形貌:
IIS3、IIS4的ASP的文件操纵都能够经由过程filesystemobject完成,包含文本文件的读写目次操纵、文件的拷贝更名删
除等,可是这个壮大的功效也留下了十分伤害的"后门"。使用filesystemobjet能够改动下载fat分区上的任何文件。即便
是ntfs分区,假如权限没有设定好的话,一样也能损坏,一不当心你便可能蒙受"没顶之灾"。遗憾的是良多webmaster只知
道让web服务器运转起来,很少对ntfs举行权限设置,而NT目次权限的默许设置恰恰平安性又低得可骇。因而,假如你是
Webmaster,倡议你亲切存眷服务器的设置,只管将web目次建在ntfs分区上,目次不要设定everyonefullcontrol,即便
是是办理员组的成员一样平常也没甚么需要fullcontrol,只需有读取、变动权限就充足了。也能够把filesystemobject的组件删
除大概更名。
5、输出尺度的HTML语句大概javascript语句会改动输入了局
成绩形貌:
在输出框中打进尺度的HTML语句会失掉甚么相的了局呢?
好比一个留言本,我们留言内容中打进:
<fontsize=10>你好!</font>
假如你的ASP程序中没有屏障html语句,那末就会改动"你好"字体的巨细。在留言本中改动字体巨细和贴图偶然并非甚么坏
事,反而可使留言本活泼。可是假如在输出框中写个javascript的逝世轮回,好比:<aherf="http://someurl"
onMou搜索引擎优化ver="while(1){window.close(/)}">特年夜旧事</a>
那末其他检察该留言的主人只需挪动鼠标到"特年夜旧事",上就会利用户的扫瞄器因逝世轮回而逝世失落。
办理办法和倡议:
编写相似程序时应当做好对此类操纵的提防,比如能够写一段程序判别客户真个输出,并屏障失落一切的HTML、Javascript
语句。
</p>结论:和PHP一样,ASP简单而易于维护,很适合小型网站应用,通过DCOM和MTS技术,ASP甚至还可以完成小规模的企业应用,但ASP的致命缺点就是不支持跨平台的系统,在大型项目开发和维护上非常困难。 |
|
|Archiver|手机版|仓酷云
鄂ICP备14007578号-2
发表于 2015-1-16 22:54:12
收藏
转播
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
楼主