你好,游客 登录 注册 搜索
背景:
阅读新闻

ASP.NET虚拟主机的重大安全隐患

[日期:2004-12-07] 来源:天极Yesky  作者: [字体: ]
说明:本文中所有程序均在Windows 2000 Server中文版 + SP2上编译运行无误
开发环境:.Net 框架1.0 Version 1.0.3705

一、ASP.NET虚拟主机存在的重大隐患

我曾经在WWW.BRINKSTER.COM申请了一个免费的ASP.NET空间,上传了两个程序,其中一个查看目录和文件的程序证明我的判断:ASP共享空间服务器存在的一个安全问题,在 ASP+ 共享空间服务器中依然存在并且变得更加难以防范!通过这个程序我可以浏览所有用户的ASP+程序,可以查看服务器的系统日志……,当然,如果我想删除什么的话也不会有什么问题。为了让大家更清楚地了解这一问题,我们有必要简单介绍一下ASP中就已经存在的这一问题。

ASP中常用的标准组件:FileSystemObject,这个组件为 ASP 提供了强大的文件系统访问能力,可以对服务器硬盘上的任何有权限的目录和文件进行读写、删除、改名等操作。FSO对象来自微软提供的脚本运行库scrrun.dll中。

使用下面的代码就可以在ASP中创建一个FSO对象:

Set fso = CreateObject("Scripting.FileSystemObject")

我们使用fso对象包含的属性和方法,如Drive、Drives、Folder、Floders、File、Files等对服务器的磁盘、目录和文件进行读、写、删除等操作。这一强大的文件系统访问能力给ASP共享空间提供者带来了严重的安全问题,很多ASP空间的管理员都删除此组件或将这个组件改名以避免用户使用这一标准组件。删除组件或组件改名确实是一个简单的方法并且也很有效,但是却使广大用户无法使用它的强大的功能。网络上还有一种看起来很美的方案,它允许用户使用 FileSystemObject 组件又不影响服务器的安全,即对每一个用户都设置一个独立的服务器用户和单个目录的操作权限。但是这种方法是有问题的。因为ASP和ASP.NET中在这方面的问题十分类似,所以我们将在ASP.NET的相应解决办法部分详加说明。

在ASP.NET中我们发现这一问题仍然存在,并且变得更加难以解决。这是因为.NET中关于系统IO操作的功能变得更加强大,而使这一问题更严重的是ASP.NET所具有的一项新功能,这就组件不需要象ASP那样必须要使用regsvr32来注册了,只需将Dll类库文件上传到bin目录下就可以直接使用了。这一功能确实给开发ASP.NET带来了很大的方便,但是却使我们在ASP中将此dll删除或者改名的解决方法失去效用了,防范此问题就变得更加复杂。在讨论解决方案之前,我们先来看一下怎么来实现上述的危险的功能。

【内容导航】
第1页: 第2页:ASP.NET虚拟主机的重大安全隐患(二)
第3页:ASP.NET虚拟主机的重大安全隐患(三) 第4页:ASP.NET虚拟主机的重大安全隐患(四)
第5页:ASP.NET虚拟主机的重大安全隐患(五) 第6页:ASP.NET虚拟主机的重大安全隐患(六)
收藏 推荐 打印 | 录入:古云 | 阅读:
相关新闻       安全 
本文评论   查看全部评论 (2)
表情: 表情 姓名: 字数
点评:
       
评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款
第 2 楼
* 匿名 发表于 2009-1-9 14:54:39
基于用户权限,这正如你所说的,你只对固定文件夹有权限,这样就避免危害了。访问系统级是很难的。
第 1 楼
* xpb 发表于 2005-9-9 15:26:10
说了半天
怎么防范阿!!!!!!!!!!!
热门评论
* 匿名 发表于 2009-1-9 14:54:39
基于用户权限,这正如你所说的,你只对固定文件夹有权限,这样就避免危害了。访问系统级是很难的。
* xpb 发表于 2005-9-9 15:26:10
说了半天
怎么防范阿!!!!!!!!!!!