|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
ASP脚本是采用明文(plaintext)方式来编写的。办理20、使用Activerserverexplorer可对文件举行读写会见
毛病形貌:
chinaasp的Activerserverexplorer能够很便利的对当地文件在线检察服务器上的目次在线检察文件的称号、巨细、类
型、修正工夫,在线编纂纯文本文件,如.txt、.htm、.asp、.pl、.cgi等等,间接实行服务器上的文件。
Activerserverexplorer请求填写绝对路径大概相对路径,可是假设:有一个打击者把Activerserverexplorer上传到
方针服务器上的某个目次,而且这个目次撑持ASP的话,那末他就能够经由过程Activerserverexplorer修正、实行方针服务器上的
文件。这类情形能够产生在一个打击者具有方针NT服务器上的一个可写目次帐号,而且这个目次又撑持ASP。好比一些撑持ASP的个
人收费主页服务器,把Activerserverexplorer先传上你请求的收费主页空间,再经由过程各类办法失掉方针服务器的路径,(好比
可经由过程毛病:"哀求不存在的扩大名为idq或ida文件,会表露文件在服务器上的物理地点.").大概间接在绝对路径上填".",一样平常
是默许。如许打击者就可以恣意修正,实行方针服务器上的文件,不论他对这个文件有没有读写会见权。
以是那些供应有ASP服务的团体主页大概别的服务的服务器,就要更加当心这类打击了。
毛病办理办法
实在Activerserverexplorer就是使用了下面讲的毛病 4 filesystemobject组件改动下载fat分区上的任何文件的
毛病。
那末我们怎样才干限定用户利用FileSystemObject工具呢?一种极度的做法是完整反注册失落供应FileSystemObject工具的那
个组件,也就是Scrrun.dll。详细的办法以下:
在MS-DOS形态上面键进:
Regsvr32/uc:windowssystemscrrun.dll
(注重:在实践操纵的时分要变动成为你当地的实践路径)
可是如许的话,就不克不及利用FileSystemObject工具了,偶然使用FileSystemObject工具来办理文件是很便利,有甚么举措能
一举两得呢?
我们能够做到克制别人不法利用FileSystemObject工具,可是我们本人仍旧可使用这个工具.
办法以下:
查找注册表中
HKEY_CLASSES_ROOTScripting.FileSystemObject键值
将其变动成为你想要的字符串(右键-->"重定名"),好比变动成为
HKEY_CLASSES_ROOTScripting.FileSystemObject2
如许,在ASP就必需如许援用这个工具了:
Setfso=CreateObject("Scripting.FileSystemObject2")
而不克不及利用:
Setfso=CreateObject("Scripting.FileSystemObject")
假如你利用一般的办法来挪用FileSystemObject工具就会没法利用了。
只需你不告知他人这个变动过的工具称号,其别人是没法利用FileSystemObject工具的。如许,作为站点办理者我们就根绝了
别人不法利用FileSystemObject工具,而我们本人仍旧可使用这个工具来便利的完成网站在线办理等等功效了!
</p>我想详细了解ASP整站代码与PSP整站代码有什么优缺点,那个更好,更安全,更用容易维护,和管理。。。 |
|
|Archiver|手机版|仓酷云
鄂ICP备14007578号-2
发表于 2015-1-16 22:54:12
收藏
转播
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
窥视卡
雷达卡
发表于 2015-2-12 06:38:01