本文主要叙及有关asp/iis的安全性问题及其相应对策,不提倡网友使用本文提及的方法进行任何破坏,否则带来的后果自负通过asp入侵web server,窃取文件毁坏系统,
这决非耸人听闻...
iis的安全性问题
1.iis3/pws的漏洞
我实验过,win95+pws上运行ASP程序,只须在浏览器地 址栏内多加一个小数点ASP程序就会被下载下来。IIS3听说也有同样的问题,不过我没有试出来。
2.iis4的漏洞
iis4一个广为人知的漏洞是::$DATA,就是ASP的url后多加这几个字符后,代码也可以被看到,使用ie的view source就能看到asp代码。Win98+pws4没有这个问题。解决
的办法有几种,一是将目录设置为不可读(ASP仍能执行),这样html文件就不能放在这个目录下,否则html不能浏览。二是安装微软提供的补丁程序。三是在服务器上安
装ie4.01sp1。
3.支持ASP的免费主页面临的问题你的ASP代码可能被人得到。ASP1.0的例子里有一个文件用来查看ASP原代码,/ASPSamp/Samples/code.asp
如果有人把这个程序弄上去了,他就可以查看别人的程序了。
例如: c...[ 查看全文 ]