ASP网页编程之假造web目次简单保守ASP源代码 (MS,缺点...
我想详细了解ASP整站代码与PSP整站代码有什么优缺点,那个更好,更安全,更用容易维护,和管理。。。web|源代码触及程序:MicrosoftInternetInformationServer/IndexServer
形貌:
震动平安发明:新的毛病同意检察web服务器上任何文件包含ASP源码
具体:
IIS4.0上有一个使用程序映照htw--->webhits.dll,这是用于IndexServer的点击功效的。只管你不运转IndexServer,该映
射仍旧无效。这个使用程序映照存在毛病,同意进侵者读取当地硬盘上的文件,数据库文件,和ASP源代码!
有两种办法来完成,第一,假如你的webserver上存在.htw后缀的文件,则能够过上面的体例来检察文件内容,好比检察
odbc.ini文件的内容:
http://www.xxx.com/iissamples/issamples/oop/qfullhit.htw?
CiWebHitsFile=/../../winnt/odbc.ini&CiRestriction=none&CiHiliteType=Full
关于IIS的一样平常安装形式能够鄙人各位置找到.htw文件:
/iissamples/issamples/oop/qfullhit.htw
/iissamples/issamples/oop/qsumrhit.htw
/iissamples/exair/search/qfullhit.htw
/iissamples/exair/search/qsumrhit.htw
/iishelp/iis/misc/iirturnh.htw
第2、假如你的webserver上不存在这个文件,有毛病的体系仍旧同意用户挪用webhits.dll,详细体例以下:
http://www.xxx.com/default.htm%20%20%20%20%20.htw?
CiWebHitsFile=/../../winnt/odbc.ini&CiRestriction=none&CiHiliteType=Full
前提是default.htm必需存在。这个文件名能够是别的文件,但必需存在。webhits.dll将会把这个文件作为一时文件翻开。当上
述URL中的空格符%20到达必定数量时,web服务的辨认功效大概会呈现成绩,如许webhits.dll将翻开指定的文件
winntodbc.ini。假如乐成,用一样的办法能够翻开更多的文件,包含ASP代码。近似的道理请见上面这段代码:
FILE*fd;
intDoesTemplateExist(char*pathtohtwfile)
{
//Justincaseinetinfo.exepassestoolongastring
//letsmakesureitsofasuitablelengthandnot
//goingtoopenabufferoverrunvulnerability
char*file;
file=(char*)malloc(250);
strncpy(file,pathtohtwfile,250);
fd=fopen(file,"r");
//Success
if(fd!=NULL)
{
return1;
}
//failed
else
{
return0;
}
}
办理计划:
不利用indexserver功效的用户,能够在IIS办理把持台中,点web站点,属性,选择主目次,设置(肇端点),使用程序映照,
将htw与webhits.dll的映照删除。
假如要用到webhits.dll,则利用上面的补钉:
IndexServer2.0(Intel呆板)的补钉
IndexServer2.0(Alpha呆板)的补钉
Windows2000的IndexServer服务补钉
平安倡议:
倡议在IIS把持台中删除无用的使用程序映照
相干站点:
http://www.microsoft.com/technet/security/bulletin/ms00-006.asp
from:http://www.cnns.net/article/db/49.htm
</p>asp可以使用微软的activeX使得网页功能无比强大,不过安全性也较差,而且是基于的windows服务器,所以性能稳定性也一般 我们必须明确一个大方向,不要只是停留在因为学而去学,我们应有方向应有目标. 还有如何才能在最短的时间内学完?我每天可以有效学习2小时,双休日4小时。 以HTML语言整合(HTML负责界面上,ASP则负责功能上)形成一个B/S(浏览器/服务器)模式的网页程序。 兴趣爱好,那么你无须学编程,申请一个域名和空间,在网上下载一些免费开源的CMS系统,你不用改代码,只须熟悉它们的后台操作,像office一样简单方便,很快就能建一个站点,很多站长都是这样做的 ASP(ActiveServerPages)是Microsfot公司1996年11月推出的WEB应用程序开发技术,它既不是一种程序语言,也不是一种开发工具,而是一种技术框架,不须使用微软的产品就能编写它的代码,能产生和执行动态、交互式、高效率的站占服务器的应用程序。 完全不知道到底自己学的是什么。最后,除了教程里面说的几个例子,还是什么都不会。 代码的可重用性差:由于是面向结构的编程方式,并且混合html,所以可能页面原型修改一点,整个程序都需要修改,更别提代码重用了。 还有如何才能在最短的时间内学完?我每天可以有效学习2小时,双休日4小时。 Application:这个存储服务端的数据,如果不清除,会直到web应用程序结束才清除(例如重启站点) 你可以通过继承已有的对象最大限度保护你以前的投资。并且C#和C++、Java一样提供了完善的调试/纠错体系。 兴趣爱好,那么你无须学编程,申请一个域名和空间,在网上下载一些免费开源的CMS系统,你不用改代码,只须熟悉它们的后台操作,像office一样简单方便,很快就能建一个站点,很多站长都是这样做的 学习是为了用的,是为了让你的程序产生价值,把握住这个原则会比较轻松点。除此之外,课外时间一定要多参加一些社会实践活动,来锻炼自己的能力。
页:
[1]