aspcms是网站什么漏洞,来个准话_1689字

    话题:cms漏洞什么意思

    推荐回答:手机有很多漏洞都是无法解决的,比如腾讯玄武实验室发现的应用克隆漏洞这种漏洞可以复制克隆手机软件里面的信息和资料所以一旦发现安卓软件可以更新了一定要及时的更新,还可以安装管家一类的安全软件来加强手机防护

    话题:是不是ASP做的网站都有漏洞

    问题:是不是ASP做的网站都有漏洞,我的用的ASP程序,有点担心

    推荐回答:应该说是网站就有漏洞,问题是我们有没有发现而已,说不定你找到了一个漏洞,在打补丁修复的同时却又增加了一个漏洞,程序方面没有绝对的,每个人的思想都是不一样的,可能你的一个防入侵手段,在别人眼里却成了一个大大的后门,就像SESSION验证,原来是为了防止非法入侵的,但现在却成了骇客入侵的最后手段,而数据库用来防止非法使用的用户身份验证,却成了骇客们入侵的指路标

    话题:网站代码高手帮我看看,阿里云提示Aspcms注入漏洞,那句话是漏洞啊?

    问题:
    <%

    dimaction:action=getForm("action","get")
    ifaction="add"thenaddComment

    SubaddComment
    DimCommentsID,contentID,Commentator,CommentContent,AddTime,CommentIP,CommentStatus
    ifgetForm("code","post")<>Session("Code")thenalertMsgAndGo"验证码不正确","-1"
    contentID=CInt(filterPara(getForm("contentID","post")))
    Commentator=filterPara(getForm("Commentator","post"))
    CommentContent=encode(filterPara(getForm("CommentContent","post")))
    CommentIP=getIP()
    CommentStatus=0
    ifnotIsSafeStr(Commentator)thenalertMsgAndGo"评论人里包含了不安全字段,请重新输入","-1"
    ifisnul(Commentator)thenalertMsgAndGo"评论者不能为空","-1"
    ifisnul(CommentContent)thenalertMsgAndGo"评论内容不能为空","-1"

    Conn.exec"insertintoAspcms_Comments(contentID,Commentator,CommentContent,AddTime,CommentIP,CommentStatus)values("&contentID&",'"&Commentator&"','"&CommentContent&"','"&now()&"','"&CommentIP&"',"&CommentStatus&")","exe"

    ifcommentRemindedthensendMailmessageAlertsEmail,setting.sitetitle,setting.siteTitle&setting.siteUrl&"--评论信息提醒邮件!","您的网站"&setting.siteTitle&"有新的评论信息!
    评论者:"&Commentator&"
    评论内容:"&CommentContent&"
    评论时间:"&now()

    ifSwitchFaqStatus=0then
    alertMsgAndGo"评论成功!",getRefer
    else
    alertMsgAndGo"评论成功,请等待审核中!",getRefer
    endif
    EndSub

    %>

    推荐回答:ASP防止注入,在前面加防注入代码即可!!没必要就纠结那个代码有注入现象!!

    话题:什么是ASP漏洞啊?

    问题:什么是ASP漏洞啊?给我详细解答一下好么?我很苯的!谢谢啊,要是回答的好我给100分啊

    推荐回答:ASP就是ActiveServerPage的缩写。它是一种包含了使用VBScript或Jscript脚本程序代码的网页。当浏览器浏览ASP网页时,Web服务器就会根据请求生成相应的HTML代码然后再返回给浏览器,这样浏览器端看到的就是动态生成的网页。ASP是微软公司开发的代替CGI脚本程序的一种应用,它可以与数据库和其它程序进行交互。是一种简单、方便的编程工具。在了解了VBSCRIPT的基本语法后,只需要清楚各个组件的用途、属性、方法,就可以轻松编写出自己的ASP系统。ASP的网页文件的格式是.ASP。无论你相不相信,通过asp,可能可以很方便地入侵webserver、窃取服务器上的文件、捕获web数据库等系统的用户口令,甚至恶意删除服务器上的的文件,直至造成系统损坏,这些都决非耸人听闻,而且都确确实实发生过,本文将向你一一揭示这些asp存在的漏洞,并提出一些防范意见。上一篇中给大家着重谈了“ADO存取数据库时如何分页显示”的问题,有位朋友来信给我指出我在计算页面总数时忽略了Recordset对象的一个重要参数“PageCount”,它能在给Pagesize赋值后自动得出页面的总数,而无须用“INT(RS.recordcount/PgSz*-1)*-1”这样繁琐的公式。我要感谢这位朋友热心地给我指出程序中的不足,由于这个程序是我在很久以前写的,因为在分页显示的时候记录的总数不一定能整除页面显示记录的数目,而当时我又不能肯定PageCount是否能正确得出页面的数目,所以偷懒写了这个公式:),说实话我到现在还都没试过用pagecount,有兴趣的朋友千万要试一下哦,可别学我的懒惰呀。最近我在chinaasp的bbs上讨论问题时发现很多朋友对于asp的一些安全性问题不甚了解,甚至不知道如何解决最常见的asp::$DATA显示源代码的问题,因此我觉得非常有必要在这里给广大朋友们重点谈一谈这个问题,在征得chinaasp飞鸟的同意下,我将他曾经写过的一点关于asp漏洞的介绍加上我自己的一些实践经验拿出来给大家详细分析一下这个对于webmaster来说至关重要的asp的安全性问题。当去年::$DATA的漏洞被发现并公布的第二天,我曾经检测了当时国内大部分运用asp的站点,其中百分之九十九都存在以上可以看见源代码的问题,当日我甚至在微软的站点上抓下了search.asp这个文件的源代码。可能你会觉得看到源代码并没有什么大碍,如果作为webmaster的你这么想就大错特错了。譬如,如果asp程序员将站点的登陆密码直接写在asp里,那么一旦源码被发现,他人就可以很容易的进入本不该被看到的页面,我就曾经利用这个方法免费成为了一个收费网站的成员(大家可别揭发我哦!),而且很多数据库的连接用户名和密码也都是直接写在asp里,一旦被发现,如果你的数据库允许远程访问而且没有设防的话就相当危险了。在一些用asp开发的bbs程序中,往往使用的是accessmdb库,如果mdb库存放的路径被获知,数据库就很有可能被他人下载,加之如果数据库里含有的密码不加密,那就非常危险了,获取密码的人如果有意进行恶意破坏,他只需要以admin身份登陆删除所有bbs里的帖子,就够你呛的了。下面列出了目前已经发现的一些漏洞,希望大家提高警惕一、经过实验我们发现,win95+pws上运行ASP程序,只须简单地在浏览器地址栏的asp文件名后多加一个小数点ASP程序就会被下载下来。IIS3也存在同样的问题,如果你目前还在使用IIS3一定要测试一下。二、iis2、iis3、iis4的一个广为人知的漏洞就是::$DATA,通过它使用ie的viewsource或netscape直接访问该asp文件就能轻而易举地看到asp代码。win98+pws4不存在这个漏洞。究竟是什么原因造成了这种可怕的漏洞呢?究其根源其实是WindowsNT特有的文件系统在做怪。有一点常识的人都知道在NT提供了一种完全不同于FAT的文件系统:NTFS,这种被称之为新技术文件系统的技术使得NT具有了较高的安全机制,但也正是因为它而产生了不少令人头痛的隐患。大家可能不知道,NTFS支持包含在一个文件中的多数据流,而这个包含了所有内容的主数据流被称之为“DATA”,因此使得在浏览器里直接访问NTFS系统的这个特性而轻易的捕获在文件中的脚本程序成为了可能。然而直接导致::$DATA的原因是由于IIS在解析文件名的时候出了问题,它没有很好地规范文件名。我们该如何解决这个问题呢?办法有几种:a、是将.asp文件存放的目录设置为不可读(ASP仍能执行),这样html、css等文件就不能放在这个目录下,否则它们将不能被浏览。b、是安装微软提供的补丁程序,下载的地址如下(注意针对不同的系统有不同的补丁):该补丁是针对IIS3,Intel平台ftp.microsoft.com/bussys/iis/iis-public/fixes/cht/security/iis3-datafix/iis3fixi.exe该补丁是针对IIS3,Intel平台ftp.microsoft.com/bussys/iis/iis-public/fixes/cht/security/iis3-datafix/iis3fixa.exe该补丁是针对IIS4,Alpha平台ftp.microsoft.com/bussys/iis/iis-public/fixes/cht/security/iis4-datafix/iis4fixi.exe该补丁是针对IIS4,Alpha平台ftp.microsoft.com/bussys/iis/iis-public/fixes/cht/security/iis4-datafix/iis4fixa.exec、是在服务器上安装ie4.01sp1,这个是否有效,作者本人没具体试过。d、存粹作者的个人意见,尽量安装英文版的NT,而不要使用中文版,究其原因作者也说不清,只是根据实践经验英文版的NT较中文版bug少,如果哪位朋友知道原因千万要告诉我。三.支持ASP的免费主页空间以及虚拟主机服务的服务器面临的问题1、服务器上的ASP代码很可能被人其他拥有asp权限的人非法获取。举个很简单的例子,在微软提供的ASP1.0的例程里有一个.asp文件专门用来查看其它.asp文件的源代码,该文件为ASPSamp/Samples/code.asp。如果有人把这个程序上传的服务器,而服务器端没有任何防范措施的话,他就可以很容易地查看他人的程序。例如:code.asp?source=/directory/file.asp2、使用的ACCESSmdb数据库可能被人下载一般来说在提供asp权限的免费主页服务器上不可能提供代为设定DSN的服务,因此asp程序使用的数据库通常都局限在使用mdb库,而mdb远端数据库所在的位置是使用我们在第十四期中讲到过的DSN-less方法直接在asp中指定的,方法如下:<%connstr="DBQ="+server.mappath("database/source.mdb")+";DefaultDir=;DRIVER={MicrosoftAccessDriver(*.mdb)};DriverId=25;FIL=MSAccess;ImplicitCommitSync=Yes;MaxBufferSize=512;MaxScanRows=8;PageTimeout=5;SafeTransactions=0;Threads=3;UserCommitSync=Yes;"%>正如前文所言,在这种情况下mdb库很可能被他人下载,从而造成诸如密码等的泄露。所以,作为webmaster应该采取一定的措施,严禁code.asp之类的程序(似乎很难办到,但可以定期检索特征代码),限制mdb的下载。3、来自强大的filesystemobject组件的威胁IIS3、IIS4的ASP的文件操作都可以通过filesystemobject实现,包括文本文件的读写目录操作、文件的拷贝改名删除等,但是这个强大的功能也留下了非常危险的“后门”。利用filesystemobjet可以篡改下载fat分区上的任何文件。即使是ntfs分区,如果权限没有设定好的话,同样也能破坏,一不小心你就可能遭受“灭顶之灾”。遗憾的是很多webmaster只知道让web服务器运行起来,很少对ntfs进行权限设置,而NT目录权限的默认设置偏偏安全性又低得可怕。因此,如果你是Webmaster,作者强烈建议你密切关注服务器的设置,尽量将web目录建在ntfs分区上,目录不要设定everyonefullcontrol,即使是是管理员组的成员一般也没什么必要fullcontrol,只要有读取、更改权限就足够了。四、ASP应用程序可能面临的攻击过去许多Internet上CGI写的留言本或BBS是把客户输入的留言变为一个变量,然后再把这个变量插入到显示留言的HTML文件里,因此客户输入的文本如要在HTML文件里显示就得符合HTML标准,而CGI程序里一般都加入了特定的HTML语言。当客户输入内容,插入HTML文件时,即同时插入到了头尾HTML语句中,如:客户输入的变量但如果把前后的HTML标记给敝屏了,就可以做很多事情了。如输入时打上:符合HTML标准的语句前后的是用来敝屏CGI中的HTML语句用的。插入到HTML文件里的就变成了:符合HTML标准的语句由于这样一个特性,使得写个javascript的死循环变得非常容易,只要在输入框中输入:那么就能让其他查看该留言的客户的浏览器因死循环而死掉。ASP开发的程序同样可能存在这个问题,因此当你用asp编写类似程序时应该做好对此类操作的防范,譬如可以写一段程序判断客户端的输入,并屏蔽掉所有的HTML、Javascript语句。看完本期后,如果你非常的震惊,那么你必须彻底对你现有的网站或asp程序进行一翻检测,看看是否存在上述漏洞。如果你对文中所谈到的漏洞都有所了解并已有足够的对策,那么在恭喜你的同时,还是要提醒你经常查看你的网站和asp程序,如果你有数据库也应该经常查看,以防他人利用一些我们未知的漏洞进行攻击。

    话题:power by aspcms2.0 是什么漏洞

    推荐回答:建议腾讯电脑管家修复1)腾讯电脑管家会智能匹配电脑系统,针对性推送适合系统的高危漏洞补丁,而其他安全软件可能推送非高危漏洞补丁;2)腾讯电脑管家推送最近发布的漏洞补丁包,而其他安全软件可能提示已过期的漏洞补丁(可以通过查看各安全软件的补丁发布日期得知)。3)腾讯电脑管家还可以定期自动删除补丁包,清理电脑空间打开腾讯电脑管家——主菜单——修复漏洞——定期删除补丁包(默认勾选状态)


关键字词



内容版权声明:除非注明,否则皆为苏州seo公司原创文章,公司提供

转载注明出处:http://www.ruheseo.com/jishu/9904.html