ASP漏洞大集合最新
日期:2007年10月29日 作者: 查看:[大字体 中字体 小字体]-
ASP漏洞分析和解决方法
1 在ASP程序后加个特殊符号,能看到ASP源程序
受影响的版本:
win95+pws
IIS3.0
98+pws4 不存在这个漏洞。
IIS4.0以上的版本也不存在这个漏洞。
问题描述:
这些特殊符号包括小数点,%81, ::$DATA。比如:
http://someurl/somepage.asp.
http:// someurl/somepage.asp%81
http:// someurl/somepage.asp::$DATA
http:// someurl/somepage.asp %2e
http:// someurl/somepage %2e%41sp
http:// someurl/somepage%2e%asp
http:// someurl/somepage.asp %2e
http://someurl/msadc/samples/selector/showcode.asp?source=/msadc/samples/../../../../../../boot.ini (可以看
到boot.ini的文件内容)
那么在安装有IIS3.0和win95+PWS的浏览中就很容易看到somepage.asp的源程序。究竟是什么原因造成了这种可怕的漏洞呢?
究其根源其实是 Windows NT 特有的文件系统在做怪。有一点常识的人都知道在 NT 提供了一种完全不同于 FAT 的文件系统:
NTFS,这种被称之为新技术文件系统的技术使得 NT 具有了较高的安全机制,但也正是因为它而产生了不少令人头痛的隐患。大家
可能不知道, NTFS 支持包含在一个文件中 的多数据流,而这个包含了所有内容的主数据流被称之为"DATA",因此使得在浏览器
里直接访问 NTFS 系统的这个特性而轻易的捕获在文件中的脚本程序成为了可能。然而 直接导致 ::$DATA 的原因是由于 IIS 在
解析文件名的时候出了问题,它没有很好地规范文件名。
解决方法和建议:
如果是Winodws NT用户,安装IIS4.0或者IIS5.0,Windows2000不存在这个问题。如果是win95用户,安装WIN98和PWS4.0。
2 Access mdb 数据库有可能被下载的漏洞
问题描述:
在用ACCESS做后台数据库时,如果有人通过各种方法知道或者猜到了服务器的ACCESS数据库的路径和数据库名称,那么他能够
下载这个ACCESS数据库文件,这是非常危险的。比如:如果你的ACCESS数据库book.mdb放在虚拟目录下的database目录下,那么有
人在浏览器中打入:
http:// someurl/database/book.mdb
如果你的book.mdb数据库没有事先加密的话,那book.mdb中所有重要的数据都掌握在别人的手中。
解决方法:
(1) 为你的数据库文件名称起个复杂的非常规的名字,并把他放在几目
录下。所谓"非常规",打个比方:比如有个数据库要保存的是有关书籍的信息,可不要把他起个"book.mdb"的名字,起个怪怪的名
称,比如d34ksfslf.mdb,再把他放在如./kdslf/i44/studi/ 的几层目录下,这样黑客要想通过猜的方式得到你的ACCESS数据库
文件就难上加难了。
(2)不要把数据库名写在程序中。有些人喜欢把DSN写在程序中,比如:
DBPath = Server.MapPath("cmddb.mdb") - [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] 下一页
-
- ASP漏洞大集合最新 相关文章:
- ·春节新年新春对联大全
- ·最新QQ圣诞表情
- ·新年问候语
- ·侠盗猎车3最新秘籍
- ·QQ空间最新模拟植物代码
- ·经典短信:2007最新短信
- ·QQ空间最新圣诞挂件代码
- ·2005 最新注册码大全
- ·网络黑客新手入门必备知识
- ·楚留香新传:桃花传奇 - 游戏攻略
- ASP漏洞大集合最新 相关软件
- ·新抢滩登陆 太平洋战役
- ·《冰封王座》国内流行新版3C地图包
- ·疯狂机器3之新实验
- ·新版坦克大战2005
- ·腾讯QQ2007 新珊瑚虫正式版
- ·《跑跑卡丁车》最新客户端
- ·新笔画输入法 V6.5 豪华版
- ·《NBA2005》最新球员综合补丁
- ·多特装机必备软件 11.9 更新
- ·新抢滩登陆太平洋战役
- 特别声明:本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作
- 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转
- 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源:http://www.hackhome.com
上一篇:北大官方站点被黑
下一篇:关于Serv-U提升又一法的补充
精品推荐
热点TOP10
- ·netcat使用指南
- ·全面对比OmniPeek与Sniffer
- ·无线攻防:破解WEP密钥过程全解
- ·反病毒引擎设计全解
- ·PHP注入某大型网站
- ·Php+Mysql注入专题
- ·sqlexp攻击.怎么防止?
- ·Win2003服务器组网、安全管理全攻略(1)
- ·Windows组策略屏蔽U盘有妙法(图)
- ·检测和删除系统中的木马(Trojan Horse)教程
- ·104种清除木马方法
- ·IIS攻击与日志
- ·什么是注入式攻击(1)
- ·ASP漏洞大集合最新
- ·Do All in Cmd Shell (一切尽在命令行)
- ·使用 OpenSSL API 进行安全编程
- ·禁止139/445端口连接
- ·IP 伪 装 法
- ·百炼成钢-打磨你的Outpost防火墙
- ·网络钓鱼式攻击 挂QQ等级网站
特别推荐
- ·用路由器来减轻DDOS攻击危害
- ·加强边界路由器安全防护的9个步骤
- ·10种方法减少内部人员的安全风险
- ·网络安全技术 再谈跨站脚本攻击与防御
- ·禁止139/445端口连接
- ·Windows组策略屏蔽U盘有妙法(图)
- ·IIS攻击与日志
- ·ASP漏洞大集合最新
- ·网络安全常识:九招防范黑客的简单办法
- ·Webmail攻防实战
- ·认清主动防御 安全软件的困惑与走向
- ·网络安全新木桶理论与信息安全
- ·网络钓鱼式攻击 挂QQ等级网站
- ·黑客入侵具体环节
- ·IP 伪 装 法
- ·TCP端口的作用、漏洞和操作建议
- ·104种清除木马方法
- ·CGI漏洞集锦
- ·什么是注入式攻击(1)
- ·Win2003服务器组网、安全管理全攻略(1)