ASP.NET虚拟主机的重大安全隐患(一)_Web开发_学习笔记★闵涛★计算机学习电脑编程软硬件技巧


	转至繁体中文版	\| 网站首页 \| 图文教程 \| 资源下载 \| 站长博客 \| 图片素材 \| 武汉seo \| 武汉网站优化 \|

ASP.NET虚拟主机的重大安全隐患(一)

作者：闵涛文章来源：闵涛的学习笔记点击数：925 更新时间：2009/4/23 10:31:29

说明：本文中所有程序均在Windows 2000 Server中文版 + SP2上编译运行无误
开发环境：.Net 框架1.0 Version 1.0.3705

　　一、ASP.NET虚拟主机存在的重大隐患

　　我曾经在WWW.BRINKSTER.COM申请了一个免费的ASP.NET空间，上传了两个程序，其中一个查看目录和文件的程序证明我的判断：ASP共享空间服务器存在的一个安全问题，在 ASP+ 共享空间服务器中依然存在并且变得更加难以防范！通过这个程序我可以浏览所有用户的ASP+程序，可以查看服务器的系统日志……，当然，如果我想删除什么的话也不会有什么问题。为了让大家更清楚地了解这一问题，我们有必要简单介绍一下ASP中就已经存在的这一问题。

　　ASP中常用的标准组件：FileSystemObject，这个组件为 ASP 提供了强大的文件系统访问能力，可以对服务器硬盘上的任何有权限的目录和文件进行读写、删除、改名等操作。FSO对象来自微软提供的脚本运行库scrrun.dll中。

　　使用下面的代码就可以在ASP中创建一个FSO对象：

　　Set fso = CreateObject("Scripting.FileSystemObject")

　　我们使用fso对象包含的属性和方法，如Drive、Drives、Folder、Floders、File、Files等对服务器的磁盘、目录和文件进行读、写、删除等操作。这一强大的文件系统访问能力给ASP共享空间提供者带来了严重的安全问题，很多ASP空间的管理员都删除此组件或将这个组件改名以避免用户使用这一标准组件。删除组件或组件改名确实是一个简单的方法并且也很有效，但是却使广大用户无法使用它的强大的功能。网络上还有一种看起来很美的方案，它允许用户使用 FileSystemObject 组件又不影响服务器的安全，即对每一个用户都设置一个独立的服务器用户和单个目录的操作权限。但是这种方法是有问题的。因为ASP和ASP.NET中在这方面的问题十分类似，所以我们将在ASP.NET的相应解决办法部分详加说明。

　　在ASP.NET中我们发现这一问题仍然存在，并且变得更加难以解决。这是因为.NET中关于系统IO操作的功能变得更加强大，而使这一问题更严重的是ASP.NET所具有的一项新功能，这就组件不需要象ASP那样必须要使用regsvr32来注册了，只需将Dll类库文件上传到bin目录下就可以直接使用了。这一功能确实给开发ASP.NET带来了很大的方便，但是却使我们在ASP中将此dll删除或者改名的解决方法失去效用了，防范此问题就变得更加复杂。在讨论解决方案之前，我们先来看一下怎么来实现上述的危险的功能。

157

没有相关教程

教程录入：mintao 责任编辑：mintao

上一篇教程：在服务器端控制网页

下一篇教程： ASP.NET虚拟主机的重大安全隐患(二)

【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

注：本站部分文章源于互联网，版权归原作者所有！如有侵权，请原作者与本站联系，本站将立即删除！本站文章除特别注明外均可转载，但需注明出处！ [MinTao学以致用网]

　网友评论：（只显示最新10条。评论内容只代表网友观点，与本站立场无关！）

同类栏目

· Web开发  · 网页制作
· 平面设计  · 网站运营
· 网站推广  · 搜索优化
· 建站心得  · 站长故事
· 互联动态

热门推荐

没有教程

赞助链接

闵涛博文

500 - 内部服务器错误。

您查找的资源存在问题，因而无法显示。

鄂公网安备 42011102001154号

站长：MinTao ICP备案号：鄂ICP备11006601号-18

闵涛站盟:医药大全-武穴网。A打造B、C、D……