ASP漏洞大全

  解决方法：
  (1) 为你的数据库文件称号起个复杂的非通例的名字，并把他放在几目录下。所谓"非通例"，打个比喻：比若有个数据库要保存的是有关书籍的信息，可不要把他起个"book.mdb"的名字，起个怪怪的称号，比如d34ksfslf.mdb，再把他放在如./kdslf/i44/studi/ 的几层目录下，这样黑客要想经过猜的方式得到你的ACCESS数据库文件就难上加难了。
  (2)不要把数据库名写在程序中。有些人喜好把DSN写在程序中，比如：
  DBPath = Server.MapPath("cmddb.mdb")
  conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
  假如万一给人拿到了源程序，你的ACCESS数据库的名字就一览有余。因而发起你在ODBC里设置数据源，再在程序中这样写：conn.open "shujiyuan"
  (3)利用ACCESS来为数据库文件编码及加密。起首在选取"工具->安全->加密/解密数据库，选取数据库（如：employer.mdb），然后接确定，接着会呈现"数据库加密后另存为"的窗口，存为：employer1.mdb。接着employer.mdb就会被编码，然后存为employer1.mdb..要细致的是，以上的动作并不是对数据库设置暗码，而只是对数据库文件加以编码，目标是为了防止他人利用别的工具来查看数据库文件的内容。
  接下来我们为数据库加密，起首以打开经过编码了的employer1.mdb，在打开时，选择"独占"方式。然后选取功效表的"工具->安全->设置数据库暗码"，接着输出暗码即可。为employer1.mdb设置暗码之后，接下来如果再利用ACCEES数据库文件时，则ACCESS会先要求输出暗码，验证正确后才气够启动数据库。不过要在ASP程序中的connection对象的open方法中增长PWD的参数即可，比方：
  param="driver={Microsoft Access Driver (*.mdb)};Pwd=yfdsfs"
  param=param&";dbq="&server.mappath("employer1.mdb")
  conn.open param
  这样即使他人得到了employer1.mdb文件，没有暗码他是无法看到employer1.mdb的。
  3 code.asp文件会走漏ASP代码
  问题描述：
  举个很简单的例子，在微软提供的 ASP1.0 的例程里有一个 .asp 文件 ，专门用来查看别的 .asp 文件的源代码，该文件为 ASPSamp/Samples/code.asp。如果有人把这个程序上传到办事器，而办事器端没有任何防备步伐的话，他就可以很容易地查看他人的程序。比方 :
  code.asp?source=/directory/file.asp
  不过这是个比较旧的毛病了，信赖如今很少会呈现这种毛病。
  上面这命令是比较新的：
  http://someurl/iissamples/exair/howitworks/code.asp?/lunwen/soushuo.asp=xxx.asp
  最大的危害莫过于asa文件可以被上述方式读出；数据库暗码以明文形式袒露在黑客面前目今;
  问题解决或发起：
  对于IIS自带的show asp code的asp程序文件，删除该文件大概禁止访问该目录即可
  4、filesystemobject 组件窜改下载 fat 分区上的任何文件的毛病
  问题描述：
  IIS3、 IIS4 的 ASP 的文件操纵都可以经过 filesystemobject 完成，包括文本文件的读写目录操纵、文件的拷贝更名删除等，但是这个强大的功效也留下了十分伤害的 "后门"。利用 filesystemobjet 可以窜改下载 fat 分区上的任何文件。即使是 ntfs 分区，如果权限没有设定好的话，同样也能破坏，一不小心你就大概蒙受"灭顶之灾 "。遗憾的是许多 webmaster 只知道让 web 办事器运行起来，很少对 ntfs 举行权限 设置，而 NT 目录权限的默许设置偏偏安全性又低得可怕。因而，如果你是 Webmaster ，发起你亲昵存眷办事器的设置，尽量将 web 目录建在 ntfs 分区上，目录不要设定 everyone full control，即使是是管理员组的成员一样平常也没什么必要 full control，只需有读取、变动权限就充足了。 也可以把filesystemobject的组件删除大概更名。
  5、输出尺度的HTML语句大概javascript语句会转变输出结果
  问题描述：
  在输出框中打入尺度的HTML语句会得到什么相的结果呢？
  比如一个留言本，我们留言内容中打入：
  你好！
  如果你的ASP程序中没有屏蔽html语句，那么就会转变"你好"字体的大小。在留言本中转变字体大小和贴图偶然并不是什么坏事，反而可以使留言本生动。但是如果在输出框中写个 javascript 的死循环，比如：特大消息
  那么其他查看该留言的客人只需挪动鼠标到"特大消息"，上就会利用户的浏览器因死循环而死失。
  解决方法和发起：
  编写雷同程序时应该做好对此类操纵的防备，譬如可以写一段程序果断客户真个输出，并屏蔽失全部的 HTML、 Javascrip
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

TAG:

评论加载中... 内容： 评论者： 验证码：