網站ASP漏洞小總結

　1. iis3/pws的漏洞
　　Win95+pws上運行ASP程式，只需在瀏覽器地址欄內多加一個小數點ASP程式就會被下載下來。



　　2. iis4的漏洞
　　iis4一個廣為人知的漏洞是:$DATA，就是ASP的URL後多加這幾個字元後，代碼也可以被看到，使用IE的view source就能看到ASP代碼。Win98+PWS4沒有這個問題。

　　解決這個問題的辦法有幾種：一是將目錄設定為不可讀（ASP仍能執行），這樣html檔案就不能放在這個目錄下，否則html不能瀏覽；二是安裝微軟提供的補丁程式；三是在伺服器上安裝ie4.01sp1。



　　3. 支援ASP的免費首頁面臨的問題
　　ASP1.0的例子裡有一個檔案用來查看ASP原始碼，/ASPSamp/Samples/code.asp。如果有人把這個程式上傳到網站上去了，他就可以查看別人的程式了。

　　既然ASP程式可以被人得到，別人就能輕而易舉地知道你的資料庫放在何處，網站的ACCESS資料庫可能被人下載。



　　4.來自filesystemobject的威脅
　　iis4的ASP的檔案操作可以通過file system object實現，包括文字檔的讀寫、目錄操作、檔案的拷貝改名刪除等。利用filesystemobjet可以篡改下載FAT分區上的任何檔案，即使是ntfs，如果許可權沒有設定好的話，同樣也能破壞 。網路系統管理員應該將web目錄建在ntfs分區上，非web目錄不要使用完全控制，而應該是網路系統管理員才可以完全控制。