引言:
2002-07-01· ·秦海鹏··yesky
说明:本文中所有程序均在Windows 2000 Server中文版 + SP2上编译运行无误
开发环境:.Net 框架1.0 Version 1.0.3705
一、ASP.NET虚拟主机存在的重大隐患
我曾经在WWW....
摘要:
c#
-----------------------------------------------
//名称空间
using system;
using system.security.cryptography;
using system.io;
using system.text;
//方法
//加密方法
public string encrypt(strin......
摘要:
in this article, a simple web based editor is built for the web.config file of asp.net. this article will cover the basics of the new web.config file structure, as well as helping the reader t......
ASP.NET虚拟主机的重大安全隐患(一)
2002-07-01· ·秦海鹏··yesky
说明:本文中所有程序均在windows 2000 server中文版 + sp2上编译运行无误
开发环境:.net 框架1.0 version 1.0.3705
一.asp.net虚拟主机存在的重大隐患
我曾经在www.brinkster.com申请了一个免费的asp.net空间,上传了两个程序,其中一个查看目录与文件的程序证明我的判断:asp共享空间服务器存在的一个安全问题,在 asp+ 共享空间服务器中依然存在并且变得更加难以防范!通过这个程序我可以浏览所有用户的asp+程序,可以查看服务器的系统日志……,当然,如果我想删除什么的话也不会有什么问题.为了让大家更清楚地了解这一问题,我们有必要简单介绍一下asp中就已经存在的这一问题.
asp中常用的标准组件:filesystemobject,这个组件为 asp 提供了强大的文件系统访问能力,可以对服务器硬盘上的任何有权限的目录与文件进行读写.删除.改名等操作.fso对象来自微软提供的脚本运行库scrrun.dll中.
使用下面的代码就可以在asp中创建一个fso对象:
set fso = createobject("scripting.filesystemobject")
我们使用fso对象包含的属性与方法,如drive.drives.folder.floders.file.files等对服务器的磁盘.目录与文件进行读.写.删除等操作.这一强大的文件系统访问能力给asp共享空间提供者带来了严重的安全问题,很多asp空间的管理员都删除此组件或将这个组件改名以避免用户使用这一标准组件.删除组件或组件改名确实是一个简单的方法并且也很有效,但是却使广大用户无法使用它的强大的功能.网络上还有一种看起来很美的方案,它允许用户使用 filesystemobject 组件又不影响服务器的安全,即对每一个用户都设置一个独立的服务器用户与单个目录的操作权限.但是这种方法是有问题的.因为asp与asp.net中在这方面的问题十分类似,所以我们将在asp.net的相应解决办法部分详加说明.
在asp.net中我们发现这一问题仍然存在,并且变得更加难以解决.这是因为.net中关于系统io操作的功能变得更加强大,而使这一问题更严重的是asp.net所具有的一项新功能,这就组件不需要象asp那样必须要使用regsvr32来注册了,只需将dll类库文件上传到bin目录下就可以直接使用了.这一功能确实给开发asp.net带来了很大的方便,但是却使我们在asp中将此dll删除或者改名的解决方法失去效用了,防范此问题就变得更加复杂.在讨论解决方案之前,我们先来看一下怎么来实现上述的危险的功能.
二.文件系统操作示例
在我们编写代码之前,有必要了解一下我们需要用到的几个主要的类.这几个类都在system.io名称空间下,system.io 名称空间包含允许在数据流与文件上进行同步与异步读写的类....
下一页 摘要:
matt powell
microsoft corporation
2001 年 9 月 19 日
在上一篇文章中,我们讨论了不同种类的攻击,以及如何进行配置以免受到攻击。本文中,我们将集中讨论如何进行设计和开发,以免受到攻击。
首先,我想介绍两个非常好的新工具,它们是 microsoft® 开发的,可使您的 web 服务器获得最大的安全性。asp?url=/technet......
