ASP主件中的安全問題

安全|問題

　　Microsoft推出的asp以簡單，易用，多功能，可擴充性等強大功能得到了網友和大多數網管的青睞，大有完全替代cgi的趨勢，但是在這裡也存在一些問題，如果在使用asp的話，你網路的安全同時也大大降低了！下面為大家舉一個例子，請按照下面的步驟：

1，下載這個檔案http：//home.gbsource.net/xuankong/dll.zip，解壓縮後吧其中的test.dll檔案拷貝到c：\windows\system（如果你使用的是NT的話，請拷貝到相應的目錄中）；

2，接下來開啟“開始/運行”菜單輸入“regsvr32test.dll”命令；

3，拷貝解壓縮後的檔案包中的那個index.asp到你的伺服器目錄（如果你使用的是PWS調試可以拷貝到“c:\inetpub\wwwroot“，NT請拷貝到相應的目錄）；

4，換一台機器用IE瀏覽index.asp檔案看一看（你看到的是出錯代碼，但是實際上程式已經運行了），你再返回你的機器看一看c:\下面是不是多了一個檔案？一個名為xuankong.dat的檔案（其實如果我願意，你的c:\autoexec.bat檔案頁可以被我開啟並寫進去一些像"format c:/q/u"等命令，那麼等你下次重新啟動的時候，嘿嘿。）。

下面我們來看一下到底是怎麼回事，你剛才拷貝的那些dll檔案其實是我使用Visul Basic5開發的一個主件：
　 1，開啟VB5建立一個“ActiveX.dll”檔案，吧下面的代碼輸入進去：
Private Declare Function ExitWindowsEx Lib "user32"_
(ByVal uFlags As Long,ByVal dwReserved As Long)_
As Long
Sub Xuankong() "請不要加上“private”
a$=InputBox("請輸入你的姓名，如果你輸入的是"xuankong""+Chr(13)+Chr(10)+
"則會在你的系統中產生一個"xuankong"檔案"+Chr(10)+Chr(13)+
"否則你的機器可能會重起","請輸入","xuankong")
If a$="xuankong" Then
Open "c:\xuankong.dat" For Append As #Write#1,"我的朋友，這是一個asp主件測試程式"
#Write#1,"hello world!this is a test"
#Write#1,"如果你看到這個檔案測試就成功！"
else
ExitWindowsEx&H43,0使用API函數重新啟動機器
End if
Close #1
End sub
　 2，把工程名改為dll，類別模組改為test，然後把這個工程產生dll檔案到c:\windows\system目錄下面。
　 3，建立一個index.asp檔案下面的代碼輸入進去：
$#@60;html$#@62;$#@60;head$#@62;$#@60;title$#@62;這是一個關於asp主件的測試$#@60;/title$#@62;$#@60;/head$#@62;
$#@60;body$#@62;
$#@60;% set rs=server.createobject("dll.test") %$#@62;
$#@60;% set rs1=rs.xuankong rs1.execute %$#@62;
$#@60;/body$#@62;
$#@60;/html$#@62;
　 4，拷貝index.asp到你的伺服器內，按照上面的方法調試！

上面所說的是asp主件的安全問題！另外如果有些作者再寫asp主件的時候不小心留下系統bug！那就更加不容易發現了！