ASP网站制作之经由过程asp进侵web server,夺取文件损坏系...
ASP最大的缺点在于网络的安全性和可靠性,企业将经营数据放在开放的平台上,最大的担忧就是如何保证这些数据不被其他人破坏。server|web本文次要叙及有关ASP/iis的平安性成绩及其响应对策,不倡始网友利用本文说起的办法举行任何损坏,不然带来的成果自信经由过程asp进侵Webserver,夺取文件损坏体系,这决非骇人听闻...iis的平安性成绩
1.iis3/pws的毛病
我实行过,win95+pws上运转ASP程序,只须在扫瞄器地址栏内多加一个小数点ASP程序就会被下载上去。IIS3传闻也有一样的成绩,不外我没有试出来。
2.iis4的毛病
iis4一个广为人知的毛病是::$DATA,就是ASP的url后多加这几个字符后,代码也能够被看到,利用ie的viewsource就可以看到asp代码。Win98+pws4没有这个成绩。办理的举措有几种,一是将目次设置为不成读(ASP仍能实行),如许html文件就不克不及放在这个目次下,不然html不克不及扫瞄。二是安装微软供应的补钉程序。三是在服务器上安装ie4.01sp1。
3.撑持ASP的收费主页面对的成绩你的ASP代码大概被人失掉。ASP1.0的例子里有一个文件用来检察ASP原代码,/ASPSamp/Samples/code.asp
假如有人把这个程序弄上往了,他就能够检察他人的程序了。
比方:code.asp?source=/someone/aaa.asp
你利用的Access数据库大概被人下载既然ASP程序能够被人失掉,他人就可以十拿九稳的晓得你的数据库放在那边,并下载它,假如数据库里含有的暗码不加密,那...就很伤害了。webmaster应当接纳必定的措施,严禁code.asp之类的程序(仿佛很难办到,但能够按期检索特性代码),限定mdb的下载(不知行不可)
4.来自filesystemobject的威逼IIS4的ASP的文件操纵能够经由过程filesystemobject完成,包含文本文件的读写目次操纵、文件的拷贝更名删除等,可是这个东东也很伤害。使用filesystemobjet能够改动下载fat分区上的任何文件,即便是ntfs,假如权限没有设定好的话,一样也能损坏,遗憾的是良多webmaster只晓得让web服务器运转起来,很少对ntfs举行权限设置。好比,一台供应假造主机服务的web服务器,假如权限没有设定好,用户能够十拿九稳地改动删除呆板上地任何文件,乃至让nt溃散。程序请参考http://www.pridechina.com/chinaasp/上的activeserverexplorer,该程序能够扫瞄不设防web服务器的一切文件和目次。
webmater应当将web目次建在ntfs分区上,非web目次不要利用everyonefullcontrol,而应当是administrator才能够fullcontrol。
源代码保护方面其实现在考虑得没那么多了..NET也可以反编译.ASP写得复杂的话别人能看得懂的话.他也有能力自己写了.这方面担心的倒不太多.纵观现在网上可以下载的那些所谓BBS还有什么网站等等的源代码 你可以通过继承已有的对象最大限度保护你以前的投资。并且C#和C++、Java一样提供了完善的调试/纠错体系。 你可以通过继承已有的对象最大限度保护你以前的投资。并且C#和C++、Java一样提供了完善的调试/纠错体系。 学习是为了用的,是为了让你的程序产生价值,把握住这个原则会比较轻松点。除此之外,课外时间一定要多参加一些社会实践活动,来锻炼自己的能力。 如何更好的使自己的东西看上去很不错等等。其实这些都不是问题的实质,我们可以在实践中不断提升自己,不断充实自己。 最近在学asp,不要问我为什么不直接学.net,因为公司网站是asp做的所以有这个需要,卖了本书asp入门到精通,对里面的六大内置对象老是记不住,还有很多属性和方法看的头晕。 封装性使得代码逻辑清晰,易于管理,并且应用到ASP.Net上就可以使业务逻辑和Html页面分离,这样无论页面原型如何改变,业务逻辑代码都不必做任何改动;继承性和多态性使得代码的可重用性大大提高。 哪些内置对象是可以跳过的,或者哪些属性和方法是用不到的? 如何更好的使自己的东西看上去很不错等等。其实这些都不是问题的实质,我们可以在实践中不断提升自己,不断充实自己。
页:
[1]