仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 437|回复: 8
打印 上一主题 下一主题

[学习教程] ASP编程:怎样完全回护你的网站不受RDS打击的威逼...

[复制链接]
小女巫 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-16 22:54:12 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
楼上说交互性不好,太牵强了吧。在微软提供的一套框架中,利用asp做网站,开发效率高,使用人数少,减少不必要的开销。交互性是互动方式,是有开发人员决定的。打击
http://www.wiretrip.net/rfp/
相干内容:
-1.成绩
-2.办理办法
-3.情势
-4.一切相干资本

假如你没偶然间来读完本文,那末你所必要做的就是删除这个文件:

?:ProgramFilesCommonFilesSystemMsadcmsadcs.dll

最敏捷和最完全的作废对RDS的撑持。(可是假如你的确必要RDS,那末你最好往下读)
----------------------------------------------------------------------
-

----[1.成绩
RDS打击不是一个复杂的成绩,固然IIS4.0存在很多林林总总的平安毛病,
可是微软历来没无为统一个平安毛病公布过云云多的补钉程序,一共是公布了三个分歧的补钉程序,可是RDS仍旧存在成绩。
以是我们必要的是真正把握甚么是RDS。然后你就会晓得怎样来本人修补
这个成绩。这个成绩从基本上说,是因为Jet3.5同意挪用VBA的shell()函数酿成的。
该函数同意你实行外壳命令,详细的历程我想仍是不具体先容了。
如今的成绩是,IIS4.0默许的情形下是安装有MDAC1.5的,它包括有RDS,
从而同意经由过程扫瞄器远程会见ODBC组件,详细的完成是经由过程一个位
于/msadc/msadcs.dll
的特定的dll文件来完成的。如今你应当能够分明,成绩实际上是由两部分构成。实在另有个“圈外人”,那就是跟从RDSSDK包安装附带的例子程序组件VbBusObj,它能够同意你
饶过那些就是已安装了微软公布的RDS补钉的情形。
上面将分离就下面三种情形做具体的办理计划形貌。

----[2.办理计划
成绩是今朝有很多种办法来办理,同时这些办法还能够被分歧的组合利用。
在这里只管形貌具体。
-办理计划#1:移走cmd.exe(ULG保举的补钉办法)
http://www.aviary-mag.com/News/Powerful_Exploit/ULG_Fix/ulg_fix.html

我保举ULG的办理办法,固然该办法仍旧存在成绩。由于固然mdac.pl是利用了
cmd.exe
来完成RDS打击的,可是,要晓得
CMD.EXE并非RDS打击办法的独一完成路子


-办理计划#2:晋级MDAC1.5到2.0

MDAC2.0将Jet3.5晋级到Jet3.52。可是仍旧存在VBAshell()打击成绩(而这刚好是
RDS打击的需要前提),而且默许情形下仍是撑持利用RDS的。现实上,就是你删除RDS体系仍是会从头安装的,个中一些应当注重的事变是:

*默许的Jet引擎酿成了3.52(仍旧有平安毛病)
*同意自界说处置(能够办理匿名RDS利用成绩)
*天生Microsoft.Jet.OLEDB.3.51*供应
注重这类办理办法,它的默许设置不长短常好。你必要修正注册表来限定自界说利用RDS处置。注册表中地位是:
HKEY_LOCAL_MACHINESoftwareMicrosoftDataFactoryHandlerInfo

Keyname:HandlerRequired
Value:DWORD:1(safe)or0(unsafe)
保举是将它的数值改成1。这实在也是利用微软供应的补钉handsafe.exe/.reg完成的。
如今,你能够回护你的体系不被远程RDS打击了,可是你仍旧存在被ODBC其他体例打击的大概性,
包含Excel,Word,和Access木马文件等。以是这个办理计划也有一些不敷。

-办理计划#3:晋级你的MDAC1.5到2.1

MDAC2.1将Jet3.5晋级到Jet4.0引擎,这个引擎不存在RDS打击平安毛病。
可是同时也印证了一个亘古稳定的法例,器材越平安它的兼容功能也就越差,
因为3.5和4.0之间存在太年夜的差别,很多人不肯意为了这些兼容功能而晋级。
由于一旦晋级后很多如今正在利用的程序将完整不克不及够利用。详细细节是:

*默许的数据库引擎为Jet4.0(没有这个平安毛病)
*撑持自界说处置(能够克制匿名利用RDS)

可是,自界说处置默许的情形下并非利用的。你一样必要象下面一样来修正注册表。

-办理计划#4:晋级你的MDAC1.5到2.0,然后再到2.1
如今,假如你是一个优异的办理员,你应当包管你一向晋级你的体系。假如你常常晋级,就应当从命按按次晋级的序次。固然一样你必要修正注册表使
能HandlerRequired
,一样因为利用了2.1的Jet4.0(没有毛病)作为默许的数据库引擎。可是因为你是经由过程
从2。0的晋级,以是你将具有Microsoft.Jet.OLEDB.3.51.
这意味着你的使用程序(包含RDS)对数据库的挪用情形都可以被日记纪录上去。而那些
老版本的OLEDB是完成不了的。
你应当从注册表中将老的hooks/providers数值往失落。一个办法是删除上面的键值出口:
HKEY_CLASSES_ROOTMicrosoft.Jet.OLEDB.3.51
HKEY_CLASSES_ROOTMicrosoft.Jet.OLEDB.3.51Errors
可是,你仍旧必要面临的成绩是兼容功能成绩。

-办理计划#5:安装JetCopkg.exe(见微软公布的平安通告MS99-030)

JetCopkg.exe是一个修正过的Jet3.5引擎,它加强了更多的平安特征来避免被打击。
它次要是对注册表中以下键值的修正:
HKEY_LOCAL_MACHINESoftwareMicrosoftJet3.5enginesSandboxMode
它的值以下:
0克制统统
1使能会见ACCESS,可是克制别的
2克制会见ACCESS,可是使能其他
3使能统统

(具体的注释能够参考
http://support.microsoft.com/support/kb/articles/q239/1/04.asp)
值得注重的是,默许的同意修正键值权限是不平安的。你必需只可以让有权限的
帐号才干够修正该键值。否则该键值会带来良多平安上的隐患。牢记,牢记。
只需将键值该成2或则3就能够将统统对RDS的打击回绝了。以是,这个办理计划是最好的。
而且因为它仍旧利用的是Jet3.5引擎,以是你不必忧虑兼容功能的成绩。而且同时你仍是能够
利用RDS的,固然已不克不及够再利用RDS举行打击了,可是成绩是匿名利用RDS仍是会将你的数据库中的信息给
保守进来的。以是你必要对RDS有较深切的编程基本,我能够倡议你克制利用RDS或则将ODBC晋级到
MDAC2.0,如许你就能够只让有权限的人才网可以利用RDS,而回绝匿名用户利用。

-办理计划#6:删除/克制RDS功效
就是我在本文最入手下手的地位提到的办法,删除上面这个文件:
?:ProgramFilesCommonFilesSystemMsadcmsadcs.dll
就是它供应了RDS的挪用接口。上面是一些更具体完全扫除RDS(假如你确信你的网站不必要该功效的话)的步骤:

*从IIS把持台删除/msadc假造目次
*删除上面的注册表键值:
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesW3SVCParameters
ADCLaunch
*删除上面这个文件目次
?:ProgramFilesCommonFilesSystemMsadc

----[3.情形
-情形#1:我的确必要RDS
起首你必要晋级你的体系到MDAC2.0。记着别忘了安装JetCopkg,大概你间接晋级到MDAC2.1.
确保你修正了HandlerRequired注册表中的数值,注释见上。同时确保你已删除一切的
RDS的例子程序。同时作废匿名帐号对/msadc目次的会见权限,而利用自界说帐号来举行处置。
具体的步骤能够参考:
http://www.microsoft.com/Data/ado/rds/custhand.htm
假如你对英文伤风的话,也能够参考我宣布在joyASP精髓区中的怎样自界说处置RDS的文章。

-情形#2:我仍是想利用那些例子该怎样办?
那末独一的办法就是你必需克制匿名帐号对RDS的会见权限。可是例子中的
VbBusObjcls会跳过自界说
会见的限定,假如例子是安装在
?:ProgramFilesCommonFilesSystemMsadcSamples
的话,那末你应当依照上面的步骤来办理:
*删除上面这个目次下一切的器材
?:ProgamFilesCommanFilesSystemMsadcSamples
*删除注册表中的键值
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesW3SVCParameters
ADCLaunchVbBusObj.VbBusObjCls

----[4.一切相干资本

-官方Jet3.5晋级文件(i386)
http://www.wiretrip.net/rfp/bins/msadc/jetcopkg.exe
http://officeupdate.microsoft.com/isapi/gooffupd.asp?
TARGET=/downloaditems/JetCopkg.exe


-Microsoft数据库会见主页
http://www.microsoft.com/data/

-MDAC2.1.2.4202.3(GA)(akaMDAC2.1sp2)晋级版本(i386)
http://www.wiretrip.net/rfp/bins/msadc/mdac_typ.exe
http://www.microsoft.com/data/download_21242023.htm


-MDAC2.1.1.3711.11(GA)(akaMDAC2.1sp1)hotfix
http://www.microsoft.com/data/download/jetODBC.exe

-MDAC2.1
http://www.microsoft.com/data/MDAC21info/MDAC21sp2manifest.htm

-MDAC2.1安装罕见成绩
http://www.microsoft.com/data/MDAC21info/MDACinstQ.htm

-RDS1.5,IIS3.0or4.0,和ODBC中的平安成绩
http://support.microsoft.com/support/kb/articles/q184/3/75.asp

-未受权会见ODBCDataAccess的RDS平安通告(MS99-004)
http://www.microsoft.com/security/bulletins/ms98-004.asp

-平安通告MS99-004(MS99-025)
http://www.microsoft.com/security/bulletins/ms99-025.asp

-MS99-025罕见成绩
http://www.microsoft.com/security/bulletins/MS99-025faq.asp

-MS99-30:官方ODBC平安毛病补钉年夜全
http://www.microsoft.com/security/bulletins/ms99-030.asp

-Jet引擎能够实行不平安的VBA函数
http://support.microsoft.com/support/kb/articles/q239/1/04.asp

-怎样完成自界说利用RDS2.0
http://www.microsoft.com/Data/ado/rds/custhand.htm

-平安修正注册表补钉
http://www.wiretrip.net/rfp/bins/msadc/handsafe.exe
http://www.microsoft.com/security/bulletins/handsafe.exe

-RFP9901:NTODBC远程会见毛病
http://www.wiretrip.net/rfp/p/doc.asp?id=3&iface=2

-RFP9902:RDS/IIS4.0平安毛病及损坏
http://www.wiretrip.net/rfp/p/doc.asp?id=1&iface=2

-RDS打击(msadc.plv1andv2)
http://www.wiretrip.net/rfp/p/doc.asp?id=16&iface=2

-ULG保举的补钉办法
http://www.aviary-mag.com/News/Powerful_Exploit/ULG_Fix/ulg_fix.html

-CERT通告
http://www.cert.org/current/current_activity.html#0

-Attrition通告
http://www.attrition.org/mirror/attrition


ASP.NET和ASP的比较,技术上比较已经没什么可说的了.新一代在大部分程度来说当然是比旧一代好了.关键看你对所做软件的理解了.因人而定.会写的话也可能比ASP.NET写得更有效率和更方便重用
简单生活 该用户已被删除
沙发
发表于 2015-1-19 16:21:31 | 只看该作者
虽然ASP也有很多网络教程。但是这些都不系统。都是半路出家,只是从一个例子告诉你怎么用。不会深入讨论,更不会将没有出现在例子里的方法都一一列举出来。
蒙在股里 该用户已被删除
板凳
发表于 2015-1-24 13:56:38 | 只看该作者
我想问如何掌握学习节奏(先学什么再学什么)最好详细点?
变相怪杰 该用户已被删除
地板
发表于 2015-2-1 16:23:24 | 只看该作者
ASP主要是用好六个对象,其实最主要的是用好其中两个:response和request,就可以随心所欲地控制网页变换和响应用户动作了。
灵魂腐蚀 该用户已被删除
5#
发表于 2015-2-7 08:38:40 | 只看该作者
我就感觉到ASP和一些常用的数据库编程以及软件工程方面的思想是非常重要的。我现在也在尝试自己做网页,这其中就用到了ASP,我想它的作用是可想而知的。
分手快乐 该用户已被删除
6#
发表于 2015-2-21 06:41:26 | 只看该作者
运用ASP可将VBscript、javascript等脚本语言嵌入到HTML中,便可快速完成网站的应用程序,无需编译,可在服务器端直接执行。容易编写,使用普通的文本编辑器编写,如记事本就可以完成。由脚本在服务器上而不是客户端运行,ASP所使用的脚本语言都在服务端上运行。
乐观 该用户已被删除
7#
发表于 2015-3-6 19:59:22 | 只看该作者
学习ASP其实应该上升到如何学习程序设计这种境界,其实学习程序设计又是接受一种编程思想。比如ASP如何学习,你也许在以前的学习中碰到过。以下我仔细给你说几点:
精灵巫婆 该用户已被删除
8#
发表于 2015-3-13 07:09:37 | 只看该作者
我们必须明确一个大方向,不要只是停留在因为学而去学,我们应有方向应有目标.
兰色精灵 该用户已被删除
9#
发表于 2015-3-20 16:25:18 | 只看该作者
学习ASP其实应该上升到如何学习程序设计这种境界,其实学习程序设计又是接受一种编程思想。比如ASP如何学习,你也许在以前的学习中碰到过。以下我仔细给你说几点:
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-25 00:41

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表