给你的filesystemobject对象加把锁-asp漏洞集

     现在国内提供支持ａｓｐ的免费空间越来越多了，对于ａｓｐ爱好者来说无疑是个好的势头，但是很多提供免费ａｓｐ空间的站点都没有对filesystemobject这个对
  象做出任何限制，这也就导致了安全问题。比如，今年愚人节“东莞视窗”所有的主页都遭到了黑客的攻击，其实做这件事情很简单，就是使用filesystemobject对象，
  具体的程序就不再讨论了。而另外一个比较有名的提供ａｓｐ空间的站点“网界”同样也存在这个安全漏洞，很容易遭到攻击。不仅仅是这些提供免费空间的站点存在这个
  安全漏洞，很多国内的虚拟主机提供商同样也存在这个安全隐患。这样给商业用户带来的危害就很大了。
  　　那么我们如何才能限制用户使用filesystemobject对象呢？一种极端的做法是完全反注册掉提供filesystemobject对象的那个组件，也就是scrrun.dll。具体的方
  法如下：
  　　在ｍｓ－ｄｏｓ状态下面键入：
  regsvr32 /u c:\windows\system\scrrun.dll
  （注意：在实际操作的时候要更改成为你本地的实际路径）
  　　但是，显而易见，如果这样做，那么包括站点系统管理员在内的任何人都将不可以使用filesystemobject对象了，这其实并不是站点管理人员想要得到的结果，毕竟
  我们使用这个对象可以实现方便的在线站台管理，如果连系统管理员都没法使用了，那可就得不偿失了，但是不禁止这个危险的对象又会给自己的站点带来安全漏洞。那么
  有没有两全其美的方法呢？有！具体方法如下：
  　　我们可以做到禁止他人非法使用filesystemobject对象,但是我们自己仍然可以使用这个对象.
  　　方法如下:
  　　查找注册表中
  　 hkey_classes_root\scripting.filesystemobject 键值
  　　将其更改成为你想要的字符串(右键-->"重命名"),比如更改成为
  　 hkey_classes_root\scripting.filesystemobject2
  　　这样,在asp就必须这样引用这个对象了:
  　 set fso = createobject("scripting.filesystemobject2")
  　　而不能使用:
  　 set fso = createobject("scripting.filesystemobject")
  　　如果你使用通常的方法来调用filesystemobject对象就会无法使用了。
  　　呵呵，只要你不告诉别人这个更改过的对象名称，其他人是无法使用filesystemobject对象的。这样，作为站点管理者我们就杜绝了他人非法使用filesystemobject
  对象，而我们自己仍然可以使用这个对象来方便的实现网站在线管理等等功能了！
  （以上方法在win98+pws以及winnt4+iis4环境下测试通过）

ICP备案编号:粤ICP备06052964号

www.sosof.com

选择显示字体大小

给你的filesystemobject对象加把锁-asp漏洞集

关键字本文所属关键字

相关与本文相关文章

分类所有文章关键字导航

源码编程相关

SQL数据库相关

手机无线相关

网页设计制作相关

网站建设推广相关

操作系统/服务器相关

图形图像多媒体相关

标准网站致力的规范

www.sosof.com

选择显示字体大小

给你的filesystemobject对象加把锁-asp漏洞集

shouchang();

关键字 本文所属关键字

相关 与本文相关文章

分类 所有文章关键字导航

源码编程相关

SQL数据库相关

手机无线相关

网页设计制作相关

网站建设推广相关

操作系统/服务器相关

图形图像多媒体相关

标准 网站致力的规范

关键字本文所属关键字

相关与本文相关文章

分类所有文章关键字导航

标准网站致力的规范