設為首頁收藏本站

 取回密碼
 註冊
搜尋
熱搜: Redump discuz
檢視: 515|回覆: 3

【轉貼】 ASP 漏洞

[複製連結]
發表於 2002年1月1日 12:32:02 | 顯示全部內容 |閱讀模式
https://127.0.0.1/msadc/Samples/SELECTOR/showcode.asp?source=/msadc/samples/../../../../../autoexec.bat

自己有架伺服器的人可以試試看這個 Link ,看看能不能看到你根目錄底下的 Autoexec.bat ,如果可以,那你就該注意了!

msadc/Samples/SELECTOR/showcode.asp 這隻程式是一個 FSO 的範例程式
主要用意在教您如何使用 FSO 去 View ASP 的 Source ,程式中雖然有限定只能 View /msadc/samples/ 下的檔案。
但是卻沒想到可以利用 MapPath 中回到上一層的語法來加以破解 ..
這樣來說,不但是根目錄,只要是 showcode.asp 所存在的硬碟中,所有檔案都擁有讀取的權限。

當您的 ASP Source 外流的同時,很可能您資料庫的密碼也外流了,那麼您資料庫中的資料,就再也不是機密了!
這是值得我們重視的,所以,當各位讀者在嬝炙遢g文章的同時,若您有用過 FSO 物件,您是否會想回頭去重新檢查呢?

程式的漏洞,通常都是由撰寫者一時的不小心而產生的,而並非程式物件天生就是如此。
系統架設時的不小心,程式撰寫時的不注意,往往就是可能導致洩密的主因。

作者文章推薦
發表於 2002年11月11日 12:57:04 | 顯示全部內容
虛心學習....
領教了!!!
我要回覆
發表於 2004年1月21日 01:01:54 | 顯示全部內容
我剛才試過了,不過網頁回應我沒有權限檢視此檔案
不知道是不是因為我有定期去做安全性更新的原因?

<網頁顯示內容如下>...

您沒有檢視此網頁的授權
您對所輸入的 Web 瀏覽器網址沒有檢視目錄或網頁的權限。

--------------------------------------------------------------------------------

如果您確信您能夠檢視這個目錄或網頁,請與 Web 站台管理員連絡,連絡的電子郵件位址或電話號碼列在 ckynb1 首頁上。

HTTP 403.6 - 禁止: IP 位址被拒絕
Internet Information Services

--------------------------------------------------------------------------------

技術資訊 (供技術支援人員使用)


背景:
當伺服器有一份不允釵s取此站台的 IP 位址清單,而您所使用的 IP 位址在此清單中,則會發生這個錯誤。


其他資訊:
Microsoft Support

我要回覆
發表於 2005年6月9日 12:59:21 | 顯示全部內容
確實是很重要的問題
感謝指點
獲益良多
我要回覆
懶得打字嗎?讓本助手協助你 【使用進階編輯器請點選右方進階模式】
您需要登入後才可以回覆 登入 | 註冊

本版積分規則

手機版|Archiver|漁家小舖

GMT+8, 2024年12月26日 22:24 , Processed in 0.214729 second(s), 25 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回覆 返回頂端 返回清單