ASP漏洞分析和解決方案(2)

來源:互聯網
上載者:User
解決 3 code.asp檔案會泄漏ASP代碼

  問題描述:
  舉個很簡單的例子,在微軟提供的 ASP1.0 的常式裡有一個 .asp 檔案,專門用來查看其它 .asp 檔案的原始碼,該檔案為
ASPSamp/Samples/code.asp。如果有人把這個程式上傳到伺服器,而伺服器端沒有任何防範措施的話,他就可以很容易地查看他
人的程式。例如 :
  code.asp?source=/directory/file.asp
  不過這是個比較舊的漏洞了,相信現在很少會出現這種漏洞。
  下面這命令是比較新的:
http://someurl/iissamples/exair/howitworks/code.asp?/lunwen/soushuo.asp=xxx.asp
  最大的危害莫過於asa檔案可以被上述方式讀出;資料庫密碼以明文形式暴露在駭客眼前;

  問題解決或建議:
  對於IIS內建的show asp code的asp程式檔案,刪除該檔案或者禁止訪問該目錄即可

4、filesystemobject 組件篡改下載 fat 分區上的任何檔案的漏洞

  問題描述:
  IIS3、 IIS4 的 ASP 的檔案操作都可以通過 filesystemobject 實現,包括文字檔的讀寫目錄操作、檔案的拷貝改名刪
除等,但是這個強大的功能也留下了非常危險的 "後門"。利用 filesystemobjet 可以篡改下載 fat 分區上的任何檔案。即使
是 ntfs 分區,如果許可權沒有設定好的話,同樣也能破壞,一不小心你就可能遭受"滅頂之災 "。遺憾的是很多 webmaster 只知
道讓 網頁伺服器運行起來,很少對 ntfs 進行許可權 設定,而 NT 目錄許可權的預設設定偏偏安全性又低得可怕。因此,如果你是
Webmaster,建議你密切關注伺服器的設定,盡量將 web 目錄建在 ntfs 分區上,目錄不要設定 everyone full control,即使
是是Administrator 群組的成員一般也沒什麼必要 full control,只要有讀取、更改許可權就足夠了。 也可以把filesystemobject的組件刪
除或者改名。

5、輸入標準的HTML語句或者javascript語句會改變輸出結果

  問題描述:
  在輸入框中打入標準的HTML語句會得到什麼相的結果呢?
  比如一個留言本,我們留言內容中打入:
<font size=10>你好!</font>
  如果你的ASP程式中沒有屏蔽html語句,那麼就會改變"你好"字型的大小。在留言本中改變字型大小和貼圖有時並不是什麼壞
事,反而可以使留言本生動。但是如果在輸入框中寫個 javascript 的死迴圈,比如:<a herf="http://someurl"
onMouseover="while(1){window.close('/')}">特大新聞</a>
  那麼其他查看該留言的客人只要移動滑鼠到"特大新聞",上就會使使用者的瀏覽器因死迴圈而死掉。

  解決方案和建議:
  編寫類似程式時應該做好對此類操作的防範,譬如可以寫一段程式判斷用戶端的輸入,並屏蔽掉所有的 HTML、 Javascript
語句。



相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。