ASP漏洞集-通过asp入侵web server,窃取文件毁坏系统

2016-01-29 19:55 7 1 收藏

ASP漏洞集-通过asp入侵web server,窃取文件毁坏系统,ASP漏洞集-通过asp入侵web server,窃取文件毁坏系统

【 tulaoshi.com - ASP 】

本文主要叙及有关asp/iis的安全性问题及其相应对策,不提倡网友使用本文提及的方法进行任何破坏,否则带来的后果自负通过asp入侵web server,窃取文件毁坏系统,
这决非耸人听闻...
iis的安全性问题
1.iis3/pws的漏洞
我实验过,win95+pws上运行ASP程序,只须在浏览器地 址栏内多加一个小数点ASP程序就会被下载下来。IIS3听说也有同样的问题,不过我没有试出来。
2.iis4的漏洞
iis4一个广为人知的漏洞是::$DATA,就是ASP的url后多加这几个字符后,代码也可以被看到,使用ie的view source就能看到asp代码。Win98+pws4没有这个问题。解决
的办法有几种,一是将目录设置为不可读(ASP仍能执行),这样html文件就不能放在这个目录下,否则html不能浏览。二是安装微软提供的补丁程序。三是在服务器上安
装ie4.01sp1。
3.支持ASP的免费主页面临的问题你的ASP代码可能被人得到。ASP1.0的例子里有一个文件用来查看ASP原代码,/ASPSamp/Samples/code.asp
如果有人把这个程序弄上去了,他就可以查看别人的程序了。
例如: code.asp?source=/someone/aaa.asp
你使用的ACCESS数据库可能被人下载既然ASP程序可以被人得到,别人就能轻而易举的知道你的数据库放在何处,并下载它,如果数据库里含有的密码不加密,那...就很危
险了。webmaster应该采取一定的措施,严禁code.asp之类的程序(似乎很难办到,但可以定期检索特征代码),限制mdb的下载(不知行不行)
4.来自filesystemobject的威胁IIS4的ASP的文件操作可以通过filesystemobject实现,包括文本文件的读写
目录操作、文件的拷贝改名删除等,但是这个东东也很危险。利用filesystemobjet可以篡改下载fat分区上的任何文件,即使是ntfs,如果权限没有设定好的话,同样也
能破坏,遗憾的是很多webmaster只知道让web服务器运行起来,很少对ntfs进行权限设置。比如,一台提供虚拟主机服务的web服务器,如果权限没有设定好,用户可以轻
而易举地篡改删除机器上地任何文件,甚至让nt崩溃。程序请参考http://www.pridechina.com/chinaasp/上的active server explorer,
该程序可以浏览不设防web服务器的所有文件和目录。
webmater应该将web目录建在ntfs分区上,非web目录不要使用everyone full control,而应该是administrator才可以full control。

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com/asp/)

来源:http://www.tulaoshi.com/n/20160129/1510384.html

延伸阅读
标签: ASP
  原作者:冷莫     其实想实现这种功能很简单,首先要上传一个RAR的解压程序,就是RAR自己的解压程序,只需要它的核心 程序RAR.EXE这个文件就可以了。然后就要上传一个执行RAR.EXE的程序 CMD.EXE 这个是windows里的程序(不必我在多说了吧)。最后就开始执行这些程序了。看一下下面的代码 <% dim ylj,ywj,Mlpath,...
标签: ASP
涉及程序: MS windows NT/IIS 描述: 共享目录导致ASP程序源码泄露 详细: 如果一个虚拟主机的根目录是映射到一网络共享目录,通过在ASP或者HTR扩展名后增加某些特殊字符,IIS服务器将反送出这个asp 或者htr文件的全部源代码。如果IIS的文件安装在本地驱动器上,就没有该泄漏源码这个问题。 在虚拟目录文件中的asp文件后增加一个符号"\",IIS就...
标签: ASP
现在国内提供支持ASP的免费空间越来越多了,对于ASP爱好者来说无疑是个好的势头,但是很多提供免费ASP空间的站点都没有对FileSystemObject这个对 象做出任何限制,这也就导致了安全问题。比如,今年愚人节“东莞视窗”所有的主页都遭到了黑客的攻击,其实做这件事情很简单,就是使用FileSystemObject对象, 具体的程序就不再讨论...
标签: ASP
跨站Script攻击和防范   第一部分:跨站Script攻击 每当我们想到黑客的时候,黑客往往是这样一幅画像:一个孤独的人,悄悄进入别人的服务器中,进行破坏或者窃取别人的秘密资料。也许他会更改我们的主页,甚者会窃 取客户的信用卡号和密码。另外,黑客还会攻击访问我们网站的客户。与此同时,我们的服务器也成了他的帮凶。微软称这...
标签: Web开发
无论你相不相信,通过 asp,可能可以很方便地入侵 web server、窃取服务器上的文件、捕获 web 数据库等系统的用户口令,甚至恶意删除服务器上的的文件,直至造成系统损坏,这些都决非耸人听闻,而且都确确实实发生过,本文将向你一一揭示这些 asp 存在的漏洞,并提出一些防范意见。      上一篇中给大家着重谈了ADO 存取...

经验教程

411

收藏

97

精华推荐

ASP终极防范上传漏洞

ASP终极防范上传漏洞

lqiaozhiq1

ASP漏洞全接触-高级篇

ASP漏洞全接触-高级篇

陈剑辉5

ASP漏洞及安全建议(4)

ASP漏洞及安全建议(4)

ok单纯的小傻子

微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部