Quels sont les problèmes de sécurité possibles dans ASP ?
ASP possède des fonctions puissantes telles que la simplicité, la facilité d'utilisation, la multifonctionnalité et l'évolutivité, mais il présente également quelques problèmes. Par exemple, si vous utilisez ASP, la sécurité du réseau risque d'être considérablement réduite ! Voici un exemple pour vous, veuillez suivre les étapes ci-dessous :
(1) Téléchargez ce fichier depuis http://home.gbsource.net/xuankong/dll.zip, décompressez-le et copiez le fichier test.dll dans c:/windows/system (si vous utilisez NT, veuillez le copier dans le répertoire correspondant);
(2) Ensuite, ouvrez le menu Démarrer/Exécuter et entrez la commande regsvr32 test.dll ;
(3) Copiez le fichier index.asp dans le package de fichiers décompressé dans le répertoire de votre serveur (si vous utilisez le débogage PWS, vous pouvez le copier dans c:/inetpub/wwwroot, NT veuillez le copier dans le répertoire correspondant) ;
(4) Changez de machine et utilisez IE pour parcourir le fichier index.asp et jetez-y un œil (ce que vous voyez est un code d'erreur, mais en fait le programme est déjà en cours d'exécution), puis revenez sur votre machine et jetez un œil à c :/ pour voir s'il est en dessous Un fichier de plus ? Un fichier nommé xuankong.dat (En fait, si je le souhaite, je peux ouvrir la page de votre fichier c:/autoexec.bat et je peux écrire des commandes comme le format c:/q/u, etc., puis attendre que vous redémarrez la prochaine fois, les résultats vont de soi).
Comment se pose le problème de sécurité des pages ASP ?
Jetons un coup d'œil à ce qui se passe. Les fichiers dll que vous venez de copier sont en fait un composant principal que j'ai développé à l'aide de Visul Basic5. Ce fichier a été généré selon les étapes suivantes :
(1) Ouvrez VB5 pour créer un nouveau fichier ActiveX.dll et entrez le code suivant :
Fonction de déclaration privée ExitWindowsEx Lib user32_(ByVal uFlags As Long,ByVal dwReserved As Long)_As LongSub Xuankong ( ) Veuillez ne pas ajouter privatea$ = InputBox (Veuillez entrer votre nom. Si vous entrez xuankong+Chr(13)+Chr(10)+, un fichier xuankong+Chr(10)+Chr(13)+ sera généré dans votre système. Sinon, votre machine pourrait redémarrer. , veuillez entrer, xuankong) Si a$ = xuankong Alors ouvrez c:/xuankong.dat pour ajouter en tant que #Write#1, mon ami, ceci est un programme de test de composant principal asp #Write#1, bonjour tout le monde ! c'est un test#Write#1, si vous voyez ce fichier, le test sera réussi ! elseExitWindowsEx&H43,0Utiliser la fonction API pour redémarrer la machineEnd ifClose #1End sub
(2) Modifiez le nom du projet en dll et le module de classe à tester, puis générez le fichier dll de ce projet dans le répertoire c:/windows/system.
(3) Créez un nouveau fichier index.asp et entrez le code suivant :
<html> </html>
(4) Copiez index.asp sur votre serveur et déboguez selon la méthode ci-dessus !
Résumer:
Ce qui est mentionné ci-dessus est le problème de sécurité du mainware ASP ! De plus, si certains auteurs réécrivent le contenu principal ASP,