ASP教程之ASP毛病剖析息争决办法(4)
对于中小型web应用来说,php有很强的竞争力,linux+apache+mysql+php(lamp)的组合几乎可以胜任绝大多数网站的解决方案,对于大型应用来讲,对于系统架构要求更高,需要有成熟的框架支持,jsp的struts是个不错的框架,国内介绍它的资料也非常多,应用逐渐广泛起来。asp就不用说了,办理15绕过考证间接进进ASP页面。毛病形貌:
假如用户晓得了一个ASP页面的路径和文件名,而这个文件又是要经由考证才干出来的,可是用户间接输出这个ASP页面的文件
名,就有大概经由过程绕过考证.好比:我在一些网站上如许试过:起首封闭一切的扫瞄器,窗口,输出:
http://someurl/system_search.asp?page=1
就样就看到了只能体系员才干看到的页面。固然有些工资了避免这类情形也会在system_search.asp的开首加个判别,好比:
判别session("system_name"),假如不为空时就可以进进,如许下面的url哀求就不克不及间接进进办理员页面了。可是这类办法也有一
个毛病,假如打击者先用一个正当的帐号,大概在本机上天生一个session,如session("system_name")="admi",那由于
session("system_name")不为空,如许也能间接进进绕过暗码,间接进进办理员页面。
办理办法:
在必要考证的ASP页面开首处举行响应的处置。好比:可跟踪上一个页面的文件名,只要从上一页面转出去的会话才干读取这个
页面。
16、IIS4.0/5.0特别数据格局的URL哀求远程DOS打击
毛病形貌:
当在安装有有IIS4.0大概IIS5.0的web服务上,哀求一个具有特别数据格局的URL,会拖慢受打击web服务器的呼应速率,也许会
使其临时中断呼应。
受影响的版本:
MicrosoftInternetInformationServer4.0
MicrosoftInternetInformationServer5.0
毛病测试程序以下:
http://202.96.168.51/download/exploits/iisdos.exe
源代码以下:
http://202.96.168.51/download/exploits/iisdos.zip
测试程序:
只需打进:iisdos<***.***.**.**>就可以打击对方web服务器
成绩办理:
InternetInformationServer4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=20906
InternetInformationServer5.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=20904
更多的信息:
http://www.microsoft.com/technet/security/bulletin/ms00-030.asp
Microsoft平安通告MS00-021:
http://www.microsoft.com/technet/security/bulletin/fq00-030.asp
相干毗连
http://www.ussrback.com
</p>Windows本身的所有问题都会一成不变的也累加到了它的身上。安全性、稳定性、跨平台性都会因为与NT的捆绑而显现出来; 尽管MS自己讲C#内核中更多的象VC,但实际上我还是认为它和Java更象一些吧。首先它是面向对象的编程语言,而不是一种脚本,所以它具有面向对象编程语言的一切特性,比如封装性、继承性、多态性等等,这就解决了刚才谈到的ASP的那些弱点。 先学习用frontpage熟悉html编辑然后学习asp和vbscript建议买书进行系统学习 他的语法和设计思路和VB完全相同,导致很多ASP的书都留一句“相关内容请参考VB的相关教材....”更糟糕的是,相当多的ASP教程混合了Javascript,VBscript等等脚本语言,搞的初学者。 还有如何才能在最短的时间内学完?我每天可以有效学习2小时,双休日4小时。 学习ASP其实应该上升到如何学习程序设计这种境界,其实学习程序设计又是接受一种编程思想。比如ASP如何学习,你也许在以前的学习中碰到过。以下我仔细给你说几点: Response:从字面上讲是“响应”,因此这个是服务端向客户端发送东西的,例如Response.Write 他的语法和设计思路和VB完全相同,导致很多ASP的书都留一句“相关内容请参考VB的相关教材....”更糟糕的是,相当多的ASP教程混合了Javascript,VBscript等等脚本语言,搞的初学者。
页:
[1]