Nginx| Apache| Lighttpd| IIS| Linux入门| Linux管理| Linux技巧| Linux命令| Linux开发| Linux数据库| 云服务器 DNS服务器| Linux服务器| 邮件服务器| WEB服务器| FTP服务器| 虚拟主机| 负载均衡| 服务器虚拟�| 文件/存储| 数据库服务�| 服务器知识|

云服务器

推荐列表 站点导航

当前位置:首页 > 服务器技术 > 云服务器 >

服务器_ASP中FSO对象对IIS WEB服务器数据安全的威胁及对策, ASP中FSO对象对IIS WEB服务器数

来源:网络整理  作者:  发布时间:2020-12-21 16:45
ASP中FSO对象对IIS WEB服务器数据安全的威胁及对策, ASP中FSO对象对IIS WEB服务器数据安全的威胁及对策 scripting.filesystem...

end if

set ofiles = othisfolder.files


从上面的分析可以看出,如果有足够的权限的话,我们就可以通过 filefinder 来查找 iis web 服务器上的任意文本文件,并且可以轻松的察看文件内容。对于非文本文件,可以确定他们是否存在及其所在路径,这对于高级 hacker 们来说,这些信息有时是极其重要的。

end if

下面的代码是对 url 后面的参数进行分析:

strext = ".ASP"

strext = request.querystring("ext")

else

end function

' 如果系统管理员对文件系统的权限进行细致的设置话,下面的代码就要出错

dim n

end select

dim ofile


' 但是有些目录还是可以察看的,所以我们简单的把错误忽略过去

附:用其它类似的服务器端脚本来运行的 web 服务,如果也提供类似 scripting.filesystemobject 的对文件系统操作的功能,不管什么平台应该存在同样的问题。

response.write "<b>searching " & strstartfolder & "</b><br>"

dim othisfolder

n = n + 1

if strext = "" then

case else

response.write "<h3>please specify a command to execute</h3>"

filefinder 的代码很简单,由3 个函数和 30 行左右的顺序代码构成。

dim ofolder

n = n + findfiles(ofolder.path, strext)

findfiles = n

if brawdata = "t" then

strcmd = ucase(request.querystring("cmd"))

' 读出各个参数的值

n = 0

最关键的是 findfiles 函数,通过对它的递归调用实现对某个目录的遍历,并且按照特定的文件扩展名来搜寻这些文件。

case "find"

brawdata = ucase(request.querystring("raw"))

if issuffix(ofile.path, strext) then

set othisfolder = g_fs.getfolder(strstartfolder)

' 默认搜索 .ASP 文件

dim ofolders

但是这些对数据安全的威胁的前提条件是执行 ff.ASP 的用户至少拥有读取目录和文件的权限。由于 windows nt server 在安装后的默认安全设置是所有用户都可以“读取”目录和文件,所以不管是 iis 默认的你名用户 iusr_servername 还是别的什么用户,都可以顺列的读取目录和文件的信息。而大多数 windows nt server系统管理员主要关心系统是否能够运行的起来,一般不愿意去改动默认的目录和文件权限,毕竟那样做要冒很大的风险,而且需要很多次得经验。所以,我们可以用 filefinder 来检查作为 web 服务器的 nt server 的文件系统的安全设置是否安全。

本文作者:

dim ofiles

response.write readtextfile(strpath)

' 如果是指定的文件扩展名,输出连接导向本身,但用不同的命令 cmd

if strpath = "" then

end if

function findfiles(strstartfolder, strext)

' 在这里是 cmd=read,即读出指定物理路径的文本文件

scripting.filesystemobject 对象是由 scrrun.dll  提供的许多供 vbscript/jscript 控制的 com 对象之一。scripting.filesystemobject 提供了非常便利的文本文件和文件目录的访问,但是同时也对 iis web 服务器数据安全造成了一定的威胁。

response.write findfiles(strpath, strext) & " file(s) found"

response.write "<pre>" & server.HTMLencode(readtextfile(strpath)) & "</pre>"

作者专门对作为 iis web 服务器的文件系统的权限进行了人工设置,但限于没有经验,导致了许多奇怪的错误现象,如:所用的做实验的 nt server 4.0 不能进行 access 数据库的连接。而在进行文件系统权限改动之前,这些功能是正常的。

' 根据不同的命令 cmd 执行不同的代码

if err = 0 then

strpath = "."

select case strcmd

set ofolders = othisfolder.subfolders


 ASP中FSO对象对IIS WEB服务器数据安全的威胁及对策

next

end if

strpath = request.querystring("path")

for each ofolder in ofolders

response.write "<a target=_blank href='ff.ASP?cmd=read&path=" & server.HTMLencode(ofile.path) & "'><font color='dodgerblue'>" & ofile.path & "</font></a><br>"

for each ofile in ofiles

next

本着纯粹研究的目的,作者还在我所申请的免费 ASP 空间上作了试验(包括 csdn 提供的我的个人主页),结果是 filefinder 都可以顺利运行。而在 申请的个人主页却没有这个问题,可见这个免费 ASP 主页提供商在这方面做的还是比较认真的。尽管 domaindlx 的 web 服务器运行在 windows 2000 server 上的,其默认的文件系统的安全权限和 nt 4.0 没有很大的差别。

end if

由于作者的能力有限,就对这个问题讨论到这里。仅以此文来向国内的 ASP 主页提供商提供参考意见,希望能对提供商和客户双方的数据安全都有所帮助。

case "read"

on error resume next

相关热词: 服务器 IIS IIS6 IIS7 IIS7.5

本站内容来源于网络,如有侵权请与我们联系,我们会及时删除,我们深感抱歉!
注:本站所有信息仅供用于网络技术学习参考,学习中请遵循相关法律法规!

本文地址: https://v30.fanwenzhu.com/server/yun/6708.shtml

上一篇:服务器_PHP实现多服务器
下一篇:服务器_ASP.NET教程:如何动
相关文章
热门TAG
win10 ecshop 主机 阿里云 解决 配置 C# C++ 解析 SQL语句 命令 Go语言 方法 CSS3 HTML5 CSS win7 MSSQL 服务器配置 IIS7.5 IIS7 IIS6 IIS CentOS 7 Linux oracle数据库 oracle phpcms discuz discuz教程
最新文章
租用云服务器后的备案问 租用云服务器后的备案问

时间:2021-01-05

百度云服务器bcc有什么优 百度云服务器bcc有什么优

时间:2021-01-05

什么是云服务器cvm?怎么 什么是云服务器cvm?怎么

时间:2021-01-05

云服务器怎么保证信息安 云服务器怎么保证信息安

时间:2021-01-05

云服务器怎么预防被攻击 云服务器怎么预防被攻击

时间:2021-01-05

阿里云ECS实例设置用户r 阿里云ECS实例设置用户r

时间:2020-12-29

阿里云ECS服务器入门使用 阿里云ECS服务器入门使用

时间:2020-12-29

怎么配置云服务器 怎么配置云服务器

时间:2020-12-28

热门文章
租用云服务器后的备案问题你真的了解吗 租用云服务器后的备案问题你真的了解吗

时间:2021-01-05

选择美国云服务器需要关注什么? 选择美国云服务器需要关注什么?

时间:2020-12-27

阿里云服务器怎么买?阿里云服务器购买 阿里云服务器怎么买?阿里云服务器购买

时间:2020-12-25

运维必须知道的关于云服务器的十个问题 运维必须知道的关于云服务器的十个问题

时间:2020-12-24

如何快速搭建一个阿里云服务器 如何快速搭建一个阿里云服务器

时间:2020-12-24

什么是云?什么是云服务?什么是云主机 什么是云?什么是云服务?什么是云主机

时间:2020-12-25

云服务器网站承载量一般有多大?一个云 云服务器网站承载量一般有多大?一个云

时间:2020-12-28

浅谈云服务器和独立服务器的八大差异 浅谈云服务器和独立服务器的八大差异

时间:2020-12-24

SugarHosts云服务器如何开启访问端口和使用 SugarHosts云服务器如何开启访问端口和使用

时间:2020-12-24

云服务器是什么,云主机干什么用的? 云服务器是什么,云主机干什么用的?

时间:2020-12-28

Copyright © www.juheyunku.com      关于 | 合作 | 声明 | 联系 | 更新 | 地图 | Tags

服务器_ASP中FSO对象对IIS WEB服务器数据安全的威胁及对策, ASP中FSO对象对IIS WEB服务器数

2020-12-21 编辑:

end if

set ofiles = othisfolder.files


从上面的分析可以看出,如果有足够的权限的话,我们就可以通过 filefinder 来查找 iis web 服务器上的任意文本文件,并且可以轻松的察看文件内容。对于非文本文件,可以确定他们是否存在及其所在路径,这对于高级 hacker 们来说,这些信息有时是极其重要的。

end if

下面的代码是对 url 后面的参数进行分析:

strext = ".ASP"

strext = request.querystring("ext")

else

end function

' 如果系统管理员对文件系统的权限进行细致的设置话,下面的代码就要出错

dim n

end select

dim ofile


' 但是有些目录还是可以察看的,所以我们简单的把错误忽略过去

附:用其它类似的服务器端脚本来运行的 web 服务,如果也提供类似 scripting.filesystemobject 的对文件系统操作的功能,不管什么平台应该存在同样的问题。

response.write "<b>searching " & strstartfolder & "</b><br>"

dim othisfolder

n = n + 1

if strext = "" then

case else

response.write "<h3>please specify a command to execute</h3>"

filefinder 的代码很简单,由3 个函数和 30 行左右的顺序代码构成。

dim ofolder

n = n + findfiles(ofolder.path, strext)

findfiles = n

if brawdata = "t" then

strcmd = ucase(request.querystring("cmd"))

' 读出各个参数的值

n = 0

最关键的是 findfiles 函数,通过对它的递归调用实现对某个目录的遍历,并且按照特定的文件扩展名来搜寻这些文件。

case "find"

brawdata = ucase(request.querystring("raw"))

if issuffix(ofile.path, strext) then

set othisfolder = g_fs.getfolder(strstartfolder)

' 默认搜索 .ASP 文件

dim ofolders

但是这些对数据安全的威胁的前提条件是执行 ff.ASP 的用户至少拥有读取目录和文件的权限。由于 windows nt server 在安装后的默认安全设置是所有用户都可以“读取”目录和文件,所以不管是 iis 默认的你名用户 iusr_servername 还是别的什么用户,都可以顺列的读取目录和文件的信息。而大多数 windows nt server系统管理员主要关心系统是否能够运行的起来,一般不愿意去改动默认的目录和文件权限,毕竟那样做要冒很大的风险,而且需要很多次得经验。所以,我们可以用 filefinder 来检查作为 web 服务器的 nt server 的文件系统的安全设置是否安全。

本文作者:

dim ofiles

response.write readtextfile(strpath)

' 如果是指定的文件扩展名,输出连接导向本身,但用不同的命令 cmd

if strpath = "" then

end if

function findfiles(strstartfolder, strext)

' 在这里是 cmd=read,即读出指定物理路径的文本文件

scripting.filesystemobject 对象是由 scrrun.dll  提供的许多供 vbscript/jscript 控制的 com 对象之一。scripting.filesystemobject 提供了非常便利的文本文件和文件目录的访问,但是同时也对 iis web 服务器数据安全造成了一定的威胁。

response.write findfiles(strpath, strext) & " file(s) found"

response.write "<pre>" & server.HTMLencode(readtextfile(strpath)) & "</pre>"

作者专门对作为 iis web 服务器的文件系统的权限进行了人工设置,但限于没有经验,导致了许多奇怪的错误现象,如:所用的做实验的 nt server 4.0 不能进行 access 数据库的连接。而在进行文件系统权限改动之前,这些功能是正常的。

' 根据不同的命令 cmd 执行不同的代码

if err = 0 then

strpath = "."

select case strcmd

set ofolders = othisfolder.subfolders


 ASP中FSO对象对IIS WEB服务器数据安全的威胁及对策

next

end if

strpath = request.querystring("path")

for each ofolder in ofolders

response.write "<a target=_blank href='ff.ASP?cmd=read&path=" & server.HTMLencode(ofile.path) & "'><font color='dodgerblue'>" & ofile.path & "</font></a><br>"

for each ofile in ofiles

next

本着纯粹研究的目的,作者还在我所申请的免费 ASP 空间上作了试验(包括 csdn 提供的我的个人主页),结果是 filefinder 都可以顺利运行。而在 申请的个人主页却没有这个问题,可见这个免费 ASP 主页提供商在这方面做的还是比较认真的。尽管 domaindlx 的 web 服务器运行在 windows 2000 server 上的,其默认的文件系统的安全权限和 nt 4.0 没有很大的差别。

end if

由于作者的能力有限,就对这个问题讨论到这里。仅以此文来向国内的 ASP 主页提供商提供参考意见,希望能对提供商和客户双方的数据安全都有所帮助。

case "read"

on error resume next

本站内容来源于网络,如有侵权请与我们联系,我们会及时删除,我们深感抱歉!
注:本站所有信息仅供学习参考!
本文地址为 https://v30.fanwenzhu.com/server/yun/6708.shtml

相关文章

风云图片

租用云服务器后的备案问

租用云服务器后的备案问

百度云服务器bcc有什么优

百度云服务器bcc有什么优

什么是云服务器cvm?怎么

什么是云服务器cvm?怎么

云服务器怎么保证信息安

云服务器怎么保证信息安

云服务器怎么预防被攻击

云服务器怎么预防被攻击

阿里云ECS实例设置用户r

阿里云ECS实例设置用户r

推荐阅读

返回云服务器频道首页