ASP

作者：書生　　當ASP以其靈活、簡單、實用、強大的特性迅速風靡全球網站的時候，其本身的一些缺陷、漏洞也正威脅著所有的網站開發人員，繼上一篇中介紹了一些IIS的系統漏洞及ASP的安全問題後，本期中將針對最新的ASP、IIS安全性漏洞進行詳細的探討，請所有的ASP網站開發人員密切關注，提高警惕。　　本月初微軟再次被指責對其出品的WEB伺服器軟體的安全問題不加重視。在微軟的流行產品IIS

一 前言　　　　　　　　　　 　　　Microsoft Active Server Pages（ASP）是伺服器端指令碼編寫環境，使用它可以建立和運行動態、互動的 Web 服務器應用程式。使用 ASP 可以組合 HTML 頁 、指令碼命令和 ActiveX 組件以建立互動的 Web 頁和基於 Web

6、ASP程式密碼驗證漏洞　　漏洞描述：　　很多網站把密碼放到資料庫中，在登陸驗證中用以下sql,(以asp為例） sql="select * from user where username='"&username&"'and pass='"& pass &'" 　　此時，您只要根據sql構造一個特殊的使用者名稱和密碼，如：ben' or '1'='1 就可以進入本來你沒有特權的頁面。再來看看上面那個語句吧：

涉及程式： MS IIS 描述 國內一大學生髮現的NT網站的ASP程式密碼驗證漏洞 詳細 來自: benjurry@263.net原文如下：很早就發現很多國內程式員對密碼驗證不注意，今天去了陳水扁(www.abian.net)的網沾，隨手一試，居然發現有這種漏洞，真是讓人笑破肚皮！原理：很多網站把密碼放到資料庫中，在登陸驗證中用以下sql,(以asp為李）sql="select * from user where

我想 使用者密碼有加密才是安全的（相對），不是嗎？下面是 md5密碼編譯演算法！<%Private Const BITS_TO_A_BYTE = 8Private Const BYTES_TO_A_WORD = 4Private Const BITS_TO_A_WORD = 32Private m_lOnBits(30)Private m_l2Power(30)Private Function LShift(lValue, iShiftBits)If iShiftBits = 0

15繞過驗證直接進入ASP頁面。　　漏洞描述：　　如果使用者知道了一個ASP頁面的路徑和檔案名稱，而這個檔案又是要經過驗證才能進去的，但是使用者直接輸入這個ASP頁面的檔案名，就有可能通過繞過驗證.比如：我在一些網站上這樣試過：首先關閉所有的瀏覽器，視窗，輸入：http://someurl/system_search.asp?page=1　　就樣就看到了只能系統員才能看到的頁面。當然有些人為了防止這種情況也會在system_search.asp的開頭加個判斷，比如：判斷session("

總是會有很多方法暴露ASP的原程式，造成資料庫的密碼 路徑都可以輕易被其他人搞到，所以對ASP程式實行加密處理是個不錯的解決方案。下面來介紹一個工具如果大家感興趣可以來我首頁下載。minisql.yeah.net 熏衣草樂園 指令碼編碼器是一種簡單的命令列工具，它使指令碼設計者可以對最終的指令碼進行編碼，從而使 Web 主機和 Web 客戶不能查看或修改它們的原始碼。注意，這種編碼只能防止別人在無意中查看到您的代碼，並不能防止蓄意駭客查看您的編碼內容及其方法。Web 設計者在 Web

18、MS ODBC資料庫連接溢出導致NT/9x拒絕服務的攻擊　　漏 洞 描 述:　　Microsoft ODBC資料庫在串連和斷開時可能存在潛在的溢出問題(Microsoft ACCESS資料庫相關)。如果不取消串連而直接和第二個資料庫相串連，可能導致服務停止。　　影響系統:ODBC 版本: 3.510.3711.0ODBC Access驅動版本: 3.51.1029.00OS 版本: Windows NT 4.0 Service Pack 5, IIS 4.0

  using System;using System.IO ;using System.Text ;namespace SuperData.ASP{ /// <summary> /// ASP破解程式 /// 功能: /// 1.加密一個檔案：EncodeFile(源檔案,目標檔案),EncodeFile(來源目錄,目標目錄,檔案名稱) ///

Active Server Page技術為應用開發商提供了基於指令碼的直觀、快速、高效的應用開發手段，極大地提高了開發的效果。但由於ASP腳本是採用明文（plain

其實在ASP.Net編程中，不用調用md5.asp來加密資料。在DotNet中有內建的類：System.Web.Security.HashPasswordForStoringInConfigFile() public string md5(string str,int code) { if(code==16) //16位MD5加密（取32位加密的9~25字元） { return

自從ASP（Active Server Pages）問世以來，因其可以建立健壯易於維護、與平台無關的應用系統，ASP技術受到了越來越多網路程式員的喜愛，使用ASP從事WEB開發的人也越來越多。但ASP只是一種非編譯型的、在服務端啟動並執行指令碼語言，採用明文(plain

在需要使用MD5加密時：--------------------------------------------------------------------------------<!--#include file="md5.asp"-->md5(加密字元)-------------------------------------------------------------------------------- md5.asp---------------

Active Server Pager(動態伺服器首頁，簡稱ASP)，通過讀寫伺服器的檔案，結合script語言（VBscript或Jscript）和html碼可以方便地實現頁面計數器功能。現流行的ASP教材和網路上的ASP教程都談到過ASP計數器的設計問題，但是都過於簡單，比如沒有提到怎樣實現計數器指令碼和首頁面的分離以及圖象計數器的實現等。下面就作者為單位製作NT web網站的經驗，舉執行個體循序漸進談談關於ASP計數器的設計，希望能給ASP的初學者和對ASP

　　先要給出一個表單，能夠讓網友輸入註冊資訊，這些是HTML的內容，且放在一邊，我們來仔細看看具體實現註冊的ASP指令碼。　　' 將資料中的單引號改成兩個單引號，並且在前後加上單引號　　Function SqlStr( data )　　 SqlStr = "'" & Replace( data, "'", "''" ) & "'"　　End

網頁中用TextBox讓使用者輸入文本，然後存入資料庫，再從資料庫中讀出顯示在頁面上。常常這樣做會遇到不少問題，因為TextBox實際上是一個Windows組件，和網頁顯示標記如：<p>,<td>,<div>等，對字元的解析方法是不同的。比如前者的換行標記為“”，而後者為“<br>”。這就帶來一個轉換的問題。 在做轉換之前，先來考慮幾個問題：1、 TextBox用“”來標記換行而網頁中以“<br>”標記2、

sqlultimate.asp--Part C<html><head><title>BuildSQL</title><!--#include file="DataTypeLib.asp" -->    <script language="JavaScript1.2" type="text/javascript"><!--

如果iis是後來安裝的，需要首先。net在命令工具中執行aspnet_regiis -i,安裝asp。netframework然後檢查下邊的配置：如果iis不是後安裝的，直接檢查下邊的配置： 1.確認在“配置屬性”中的“啟用ASP.NET調試"為"True" 2.確認你的"web.config"中的"debug=true" 3.若你安裝過wind2000 SP4後，則要在命令列執行"regsvr32 i

<%@ Language=VBScript %><HTML><HEAD><META NAME="GENERATOR" Content="Microsoft Visual Studio 6.0"></HEAD><BODY><P

/**@描述： 在Asp程式中取得表單所有內容的方法@作者： 慈勤強@Email：cqq1978@Gmail.com Http://blog.111cn.net/cqq*/ 剛才在論壇裡面看到有人問這個問題，就是在Asp中如何得到所有表單的名稱跟 對應的值。其實，這個問題很簡單，但是可能還是有很多人不知道該怎麼做，所以特地 寫下來，僅供參考。 在Asp程式中，用來獲得用戶端資料的對象是