網站ASP漏洞小總結

2019-11-18 20:38:46

字體：大中小

來源：轉載

供稿：網友

　　1. iis3/pws的漏洞
　　Win95+pws上運行asp程序，只需在瀏覽器地址欄內多加一個小數點ASP程序就會被下載下來。

　　2. iis4的漏洞
　　iis4一個廣為人知的漏洞是:$DATA，就是ASP的URL后多加這幾個字符后，代碼也可以被看到，使用IE的view source就能看到ASP代碼。Win98+PWS4沒有這個問題。

　　解決這個問題的辦法有幾種：一是將目錄設置為不可讀（ASP仍能執行），這樣html文件就不能放在這個目錄下，否則html不能瀏覽；二是安裝微軟提供的補丁程序；三是在服務器上安裝ie4.01sp1。

　　3. 支持ASP的免費主頁面臨的問題
　　ASP1.0的例子里有一個文件用來查看ASP源代碼，/ASPSamp/Samples/code.asp。如果有人把這個程序上傳到網站上去了，他就可以查看別人的程序了。

　　既然ASP程序可以被人得到，別人就能輕而易舉地知道你的數據庫放在何處，網站的 access數據庫可能被人下載。

　　4.來自filesystemobject的威脅
　　iis4的ASP的文件操作可以通過file system object實現，包括文本文件的讀寫、目錄操作、文件的拷貝改名刪除等。利用filesystemobjet可以篡改下載FAT分區上的任何文件，即使是ntfs，如果權限沒有設定好的話，同樣也能破壞。網絡管理員應該將web目錄建在ntfs分區上，非web目錄不要使用完全控制，而應該是網絡管理員才可以完全控制。

上一篇：實現ASP文件在線發郵件

下一篇：使用ASP程序對“HTML炸彈”進行屏蔽