ASP网站制作之ASP毛病剖析息争决办法(3)
写软件都是想的时间比写的时间要长的.如果反过来了就得看看是什么原因了.另外大家可以回去问问公司里的小MM.(一般企业里,跟你们交付软件接触得最多的是她们)办理6、ASP程序暗码考证毛病毛病形貌:
良多网站把暗码放到数据库中,在上岸考证顶用以下sql,(以asp为例)
sql="select*fromuserwhereusername="&username&"andpass="&pass&"
此时,您只需依据sql机关一个特别的用户名和暗码,如:benor1=1
就能够进进原本你没有特权的页面。再来看看下面谁人语句吧:
sql="select*fromuserwhereusername="&username&"andpass="&pass&"
此时,您只需依据sql机关一个特别的用户名和暗码,如:benor1=1
如许,程序将会酿成如许:sql="select*fromusernamewhereusername="&benor1=1&"andpass="&pass&"
or是一个逻辑运算符,感化是在判别两个前提的时分,只需个中一个前提建立,那末等式将会建立.而在言语中,是以1来代表真的(成
立).那末在这行语句中,原语句的"and"考证将不再持续,而由于"1=1"和"or"令语句前往为真值.。
别的我们也能够机关以下的用户名:
username=aaorusernameaa
pass=aaorpassaa
响应的在扫瞄器真个用户名框内写进:aaorusernameaa口令框内写进:aaorpassaa,注重这两个字符串两端是
没有的。如许就能够乐成的骗过体系而进进。
后一种办法实际固然云云,但要理论长短常坚苦的,上面两个前提都必需具有。
1.你起首要可以正确的晓得体系在表中是用哪两个字段存储用户名和口令的,只要如许你才干正确的机关出这个打击性的字符
串。实践上这是很难料中的。
2.体系对你输出的字符串不举行无效性反省。
成绩办理和倡议:
对输出的内容考证和""号的处置。
7、IIS4大概IIS5中安装有INDEXSERVER服务会毛病ASP源程序
成绩形貌:
在运转IIS4大概IIS5的IndexServer,输出特别的字符格局能够看到ASP源程序大概别的页面的程序。乃至和添打了比来关
于参看源代码的补钉程序的体系,大概没有.htw文件的体系,一样存在该成绩。取得asp程序,乃至global.asa文件的源代码,无
疑对体系是一个十分严重的平安隐患。常常这些代码中包括了用户暗码和ID,和数据库的源路径和称号等等。这关于打击者搜集
体系信息,举行下一步的进侵都长短常主要的。
经由过程构建上面的特别程序能够参看该程序源代码:
http://202.116.26.38/null.htw?CiWebHitsFile=/default.asp&CiRestriction=none&CiHiliteType=Full
如许只是前往一些html格局的文件代码,可是当你增加%20到CiWebHitsFile的参数前面,以下:
http://someurl/null.htw?CiWebHitsFile=/default.asp%20&CiRestriction=none&CiHiliteType=Full
这将取得该程序的源代码。
(注重:/default.asp是以web的根入手下手盘算。如某站点的http:///welcome/welcome.asp
那末对应就是:
http://someurl/null.htw?CiWebHitsFile=/welcome/welcome.asp%20&CiRestriction=none&CiHiliteType=Full
)
因为null.htw文件并不是真实的体系映照文件,以是只是一个贮存在体系内存中的假造文件。哪怕你已从你的体系中删除
一切的实在的.htw文件,可是因为对null.htw文件的哀求默许是由webhits.dll来处置。以是,IIS仍旧收到该毛病的威逼。
成绩办理大概倡议:
假如该webhits供应的功效是体系必需的,请下载响应的补钉程序。假如没需要,请用IIS的MMC办理工具复杂移除.htw的映象
文件。
补钉程序以下:
IndexServer2.0:
Intel:
http://www.microsoft.com/downloads/release.asp?ReleaseID=17727
Alpha:
http://www.microsoft.com/downloads/release.asp?ReleaseID=17728
IndexingServicesforWindows2000:
Intel:
http://www.microsoft.com/downloads/release.asp?ReleaseID=17726</p>使用cdonts,可以发送、查看邮件,实现webmail的功能。结合wsh,可以实现对nt主机的管理,如nt用户管理、iis虚拟主机设置、exchange邮箱设置等等,就像管理本地机一样方便。 完全不知道到底自己学的是什么。最后,除了教程里面说的几个例子,还是什么都不会。 不是很难但是英文要有一点基础网上的教程很少有系统的详细的去买书吧,另不用专门学习vb关于vbscript脚本在asp教材都有介绍 我们必须明确一个大方向,不要只是停留在因为学而去学,我们应有方向应有目标. 先学习用frontpage熟悉html编辑然后学习asp和vbscript建议买书进行系统学习 作为IE上广为流传的动态网页开发技术,ASP以它简单易学博得了广大WEB程序爱好这的青睐,而且它对运行环境和开发品台的不挑剔,以及有大量有效的参考手册,极大的推广了它的发展。 从事这个行业,那么你可以学ASP语言,简单快速上手,熟练dreamweav排版,写asp代码,熟练photoshop处理图片,打好基础就行了 如何学好ASP,以前也有人问过,把回答给你转过来看看能否对你有帮助: Server:这个表示的服务器,操作服务器的一些东西使用这个,如Server.Mappath转换服务器路径,Server.CreateObject实例化一个组件
页:
[1]