網站ASP漏洞小總結

來源:互聯網
上載者:User
 1. iis3/pws的漏洞
  Win95+pws上運行ASP程式,只需在瀏覽器地址欄內多加一個小數點ASP程式就會被下載下來。



  2. iis4的漏洞
  iis4一個廣為人知的漏洞是:$DATA,就是ASP的URL後多加這幾個字元後,代碼也可以被看到,使用IE的view source就能看到ASP代碼。Win98+PWS4沒有這個問題。

  解決這個問題的辦法有幾種:一是將目錄設定為不可讀(ASP仍能執行),這樣html檔案就不能放在這個目錄下,否則html不能瀏覽;二是安裝微軟提供的補丁程式;三是在伺服器上安裝ie4.01sp1。



  3. 支援ASP的免費首頁面臨的問題
  ASP1.0的例子裡有一個檔案用來查看ASP原始碼,/ASPSamp/Samples/code.asp。如果有人把這個程式上傳到網站上去了,他就可以查看別人的程式了。

  既然ASP程式可以被人得到,別人就能輕而易舉地知道你的資料庫放在何處,網站的ACCESS資料庫可能被人下載。



  4.來自filesystemobject的威脅
  iis4的ASP的檔案操作可以通過file system object實現,包括文字檔的讀寫、目錄操作、檔案的拷貝改名刪除等。利用filesystemobjet可以篡改下載FAT分區上的任何檔案,即使是ntfs,如果許可權沒有設定好的話,同樣也能破壞 。網路系統管理員應該將web目錄建在ntfs分區上,非web目錄不要使用完全控制,而應該是網路系統管理員才可以完全控制。


相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.