ASP 漏洞

fishman

https://127.0.0.1/msadc/Samples/SELECTOR/showcode.asp?source=/msadc/samples/../../../../../autoexec.bat

自己有架伺服器的人可以試試看這個 Link ，看看能不能看到你根目錄底下的 Autoexec.bat ，如果可以，那你就該注意了！

msadc/Samples/SELECTOR/showcode.asp 這隻程式是一個 FSO 的範例程式
主要用意在教您如何使用 FSO 去 View ASP 的 Source ，程式中雖然有限定只能 View /msadc/samples/ 下的檔案。
但是卻沒想到可以利用 MapPath 中回到上一層的語法來加以破解 ..
這樣來說，不但是根目錄，只要是 showcode.asp 所存在的硬碟中，所有檔案都擁有讀取的權限。

當您的 ASP Source 外流的同時，很可能您資料庫的密碼也外流了，那麼您資料庫中的資料，就再也不是機密了！
這是值得我們重視的，所以，當各位讀者在嬝炙遢g文章的同時，若您有用過 FSO 物件，您是否會想回頭去重新檢查呢？

程式的漏洞，通常都是由撰寫者一時的不小心而產生的，而並非程式物件天生就是如此。
系統架設時的不小心，程式撰寫時的不注意，往往就是可能導致洩密的主因。

Rudext

虛心學習....
領教了!!!

mcky

我剛才試過了,不過網頁回應我沒有權限檢視此檔案
不知道是不是因為我有定期去做安全性更新的原因?

＜網頁顯示內容如下＞...

您沒有檢視此網頁的授權
您對所輸入的 Web 瀏覽器網址沒有檢視目錄或網頁的權限。

--------------------------------------------------------------------------------

如果您確信您能夠檢視這個目錄或網頁，請與 Web 站台管理員連絡，連絡的電子郵件位址或電話號碼列在 ckynb1 首頁上。

HTTP 403.6 - 禁止： IP 位址被拒絕
Internet Information Services

--------------------------------------------------------------------------------

技術資訊 (供技術支援人員使用)


背景：
當伺服器有一份不允釵s取此站台的 IP 位址清單，而您所使用的 IP 位址在此清單中，則會發生這個錯誤。


其他資訊：
Microsoft Support

偽善

確實是很重要的問題
感謝指點
獲益良多