ASP网站制作之计划ASP时对其平安性和不乱性计划的经...
asp,你就只能等着微软给你解决,它不乐意你就只好悲催。而且asp跑在windows服务器上,windows服务器跟linux比起来简直弱爆了!平安|平安性|计划我是弄江湖程序出生的,谁人时分网上满那都是黑客打击江湖的典范。在事先仍是菜鸟兼站长的我是吃尽了甜头,大概下边的一些履历都不是有太高手艺含量,可是假如小瞧的话
逝世的大概会很惨
1.sql注进毛病我想有的人在一些网站上看过先容。分明的请持续走。不分明的留下
就先那方才发[自己_l年夜型商I平_...]的谁人兄弟开刀,(请不要拿器材丢我)
他的站点计划的感到还算不错。可是有一个致命缺点。
就是当我输出
用户名:admin
密码:or=
的时分,就间接能进进到他的体系中,不外不是ADMIN权限,(掉算一,一!)
不外这个就反应一个成绩,在一个体系计划中是不该该呈现不晓得暗码就能够进进团体帐
号的征象的,但这的确呈现了。缘故原由是甚么呢
一样平常的用户校验都是如许
rs.open"select*fromuserdatawherename="&name&"andpass=&pass&"
想必人人都晓得这个语句怎样用
可是假如兼并我方才的用户名暗码
这个SQL语句就是
rs.open"select*fromuserdatawherename=adminandpass=or="
想必人人能看分明是怎样回事变了吧。
办理办法就是把转换成
假如你以为只是能让你免暗码登进可就错了
假如用户名是恣意暗码是
or=;delete*fromuserdatawhere=
兼并今后人人本人揣摩吧~~~,另有更狠的就不网上写了
可悲的是我在收集上找ASP的站点,有70%有如许的毛病,不晓得是本质都不可,仍是我
“命运”太好。
--------------------------------------
留言版和信息公布
这个照比谁人毛病能差点,最少你数据能保住。
一样平常计划留言版都间接利用如许的形式
存:rs("memo")=表单提交信息
取:<%=rs("memo")%>
在感到上如许是没有甚么成绩
可是我假如在留言版输出以下代码~
<scriptlanguage="JavaScript">while(true){window.open("一个炸弹程序寄存地点址/bomb.htm","","fullscreen=yes,Status=no,scrollbars=no,resizable=no");}</script>
不晓得你会不会很爽~~~。
大概连到一个SEX然后给相干部门打德律风让他们来反省到达害逝世你的目标。
乃至查动静的时分你间接中弹而招致没法检察他的信息。
这个时分就要用
FunctionHTMLEncode(fString)
IfNotIsNull(fString)Then
Dimbwords,ii
fString=replace(fString,">",">")
fString=replace(fString,"<","<")
fString=Replace(fString,CHR(32),"")
fString=Replace(fString,CHR(9),"")
fString=Replace(fString,CHR(34),""")
fString=Replace(fString,CHR(39),"")
fString=Replace(fString,CHR(13),"")
fString=Replace(fString,CHR(10)&CHR(10),"</P><P>")
fString=Replace(fString,CHR(10),"<BR>")
EndFunction
这个函数,能够把用户输出的HTML代码依照原样显现出来,而不会间接实行。
-------------------------------------
FSO图片上传。犯这个毛病的人已很少了,不外不暗示没有。
在上传图片的时分不限定扩大名。
好比我传一个ASP的FSO木马大概经由过程SHELL实行程序。和其他体例,就能够完整操控服
务器
不晓得究竟有几网站有这个毛病。
如今网上有年夜连信息港的程序下载,想必就晓得他是怎样来的,(其保护职员还把全部程序打RAR,便利下载)
而另人痛心的是,呈现这个毛病的年夜部分是当局网站,和公营网站。看学历和干系用人
严峻。不卖力任。混日子的人都在构造事情,但真正弄的了手艺却纷歧定过这甚么日子
-------------------------------
不晓得另有甚么,临时没想起来,次要这几个掌控好常人不克不及黑了,假如经由过程139大概
445把你站点改了可就不是我能帮的上忙的了
</p>优点:简单易学、开发速度快、有很多年“历史”,能找到非常多别人做好的程序来用、配合activeX功能强大,很多php做不到的asp+activeX能做到,例如银行安全控件 他的语法和设计思路和VB完全相同,导致很多ASP的书都留一句“相关内容请参考VB的相关教材....”更糟糕的是,相当多的ASP教程混合了Javascript,VBscript等等脚本语言,搞的初学者。 以HTML语言整合(HTML负责界面上,ASP则负责功能上)形成一个B/S(浏览器/服务器)模式的网页程序。 弱类型造成潜在的出错可能:尽管弱数据类型的编程语言使用起来回方便一些,但相对于它所造成的出错几率是远远得不偿失的。 没有坚实的理论做基础,那么我们连踏入社会第一步的资本都没有,特别对于计算机专业的学生学好专业知识是置关重要的。在这里我侧重讲一下如何学习ASP,从平时的学习过程中。 不是很难但是英文要有一点基础网上的教程很少有系统的详细的去买书吧,另不用专门学习vb关于vbscript脚本在asp教材都有介绍 运用经典的例子。并且自己可以用他来实现一些简单的系统。如果可以对他进行进一步的修改,找出你觉得可以提高性能的地方,加上自己的设计,那就更上一个层次了,也就会真正地感到有所收获。 你可以通过继承已有的对象最大限度保护你以前的投资。并且C#和C++、Java一样提供了完善的调试/纠错体系。 我们必须明确一个大方向,不要只是停留在因为学而去学,我们应有方向应有目标. 我就感觉到ASP和一些常用的数据库编程以及软件工程方面的思想是非常重要的。我现在也在尝试自己做网页,这其中就用到了ASP,我想它的作用是可想而知的。
页:
[1]