ASP組件中的安全問題 (轉)

來源:互聯網
上載者:User
安全|問題 Microsoft推出的ASP(Active Server Page)以簡單、易用、功能多、可擴充性等強大功能得到了網友和大多數網管的喜愛,大有完全代替CGI的趨勢。但是我要對你說,如果使用ASP的話,你網路的安全同時也大大降低了!   在我繼續說下去之前,請你完成以下步驟:
  1.下載這個檔案“http://home.gbsource.net/xuankong/dll.zip”,解壓縮後把其中的test.dll檔案拷貝到“c:\windows\system”(如果你是使用NT的話,請拷貝到相應目錄);
  2.接下來開啟“開始/運行”菜單輸入“regsvr32 test.dll”命令;
  3.拷貝解壓縮後的檔案包中的那個index.asp到你的伺服器目錄(如果你是使用PWS‘Personal Web Server’調試可以拷貝到“c:\Inetpub\wwwroot”,NT請拷貝到相應的目錄);
  4.換一台機器用IE瀏覽index.asp檔案看一看(你看到的是出錯代碼,但是實際上程式已經運行了),你再返回你的機器看一看c:\下是否多了一個檔案?!一個名為“xuankong.dat”的檔案(其實如果我願意,你的c:\autoexec.bat檔案也可以被我開啟並寫入一些什麼“format c: /q/y”或者“deltree *.* /y”的命令,等你下次重新啟動機器。嘿嘿……)。
  我們一起來看看到底是怎麼一回事,你剛才拷貝的那些DLL檔案其實是我使用Visul Basic 5.0開發的一個組件:
  1.開啟VB5.0建立一個“ActiveX dll”檔案,把下面的代碼錄入進去。
  Private Declare Function ExitWindowsEx Lib ″user32″ _
  (ByVal uFlags As Long, ByVal dwReserved As Long) _
  As Long   Sub xuankong()′請不要加上″private″  
 a$ = InputBox(″請輸入你的姓名,如果你的輸入是″xuankong″″ + Chr(13) + Chr(10) + ″則會在你的系統中產生一個″xuankong.dat″檔案″ + Chr(10) + Chr(13) + ″否則的話你的機器可能重啟″, ″請輸入″, ″xuankong″)
  If a$ = ″xuankong″ Then   Open ″c:\xuankong.dat″ For Append As #1   Write #1, ″我的朋友,這是一個ASP組件的測試程式″   Write #1, ″hello world!This is a test″   Write #1, ″如果你看到這個檔案表示測試成功!!!″   Else   ExitWindowsEx &H43, 0′使用API函數重新啟動機器   End If   Close #1   End Sub
  2.把工程名改為dll,類別模組改為test,然後把這個工程產生DLL檔案到c:\windows\system目錄下面。
  3.建立一個index.asp檔案把下面的代碼錄入進去。
  <% set rs=server.createobject(″dll.test″)%>
  <% set rs1=rs.xuankong    rs1.execute    %>
  4.拷貝index.asp到你的伺服器內,按照上面所述進行調試!   好了,如果你調試完成,有什麼感覺???如果是使用VC++ 、Visual Java開發(它們開發出來的組件功能可更加強大);如果把上面的VB代碼改一下,加入到一些FTP組件、E-mail組件、HTTP組件、聊天室組件、計數器組件中……(凡是可以輸入/輸出的組件,沒法輸入/輸出的組件的破壞力有一定局限),再給這些組件加上一個好聽的名字“免費的……”你不上當嗎(嘿嘿!說不定你已經上當了,天下免費的東西可是好東西!!!*^v^*)?
  上面所說的是ASP組件的安全問題!另外如果有些作者在寫ASP組件時不小心留下系統bug!那就更加不易被人發覺了!
  說明:本文只代表個人觀點。本文所提供的代碼在Windows 98內建的PWS和Visual Basic 5.0下調試通過,如果你在產生ASP組件時出現不能編譯的問題,請關閉你的PWS。你有什麼想法或意見請E-mail: xuankong@swau.edu.cn。



相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。