| 网站首页 | 业界新闻 | 小组 | 威客 | 人才 | 下载频道 | 博客 | 代码贴 | 在线编程 | 编程论坛
欢迎加入我们,一同切磋技术
用户名:   
 
密 码:  
共有 4139 人关注过本帖
标题:[讨论]asp网站攻击方法(讨论前言)
只看楼主 加入收藏
flynet
Rank: 3Rank: 3
来 自:北京
等 级:论坛游民
威 望:7
帖 子:352
专家分:60
注 册:2007-1-28
收藏
得分:0 
ODBC里设置数据源 是什么意思 我不是很懂 放段代码 你们看看 算不算 ODBC里设置数据源
Db = "database/bbsxp7.mdb" '数据库路径
Connstr="Provider=Microsoft.Jet.OLEDB.4.0;Data Source="&Server.MapPath(db)
Set Conn=Server.CreateObject("ADODB.Connection")
Conn.open ConnStr

PHP 新人 不断学习进取中。。。
2007-09-06 10:32
flynet
Rank: 3Rank: 3
来 自:北京
等 级:论坛游民
威 望:7
帖 子:352
专家分:60
注 册:2007-1-28
收藏
得分:0 
回复:(yms123)以下是引用hmhz在2007-9-6 9:48:53的...

\0代表什么?


PHP 新人 不断学习进取中。。。
2007-09-06 10:33
flynet
Rank: 3Rank: 3
来 自:北京
等 级:论坛游民
威 望:7
帖 子:352
专家分:60
注 册:2007-1-28
收藏
得分:0 
我已经明白了odbc设置数据源了呵呵 在控制面板里

PHP 新人 不断学习进取中。。。
2007-09-06 11:07
flynet
Rank: 3Rank: 3
来 自:北京
等 级:论坛游民
威 望:7
帖 子:352
专家分:60
注 册:2007-1-28
收藏
得分:0 
回复:(yms123)以下是引用hmhz在2007-9-6 9:48:53的...
能否给个 你认为严密的 文件类型验证 代码 还有就是 验证文件内容的合法性 和 判断用户文件中的危险操作  的代码

PHP 新人 不断学习进取中。。。
2007-09-06 11:54
yms123
Rank: 16Rank: 16Rank: 16Rank: 16
等 级:版主
威 望:209
帖 子:12488
专家分:19042
注 册:2004-7-17
收藏
得分:0 
以下是引用flynet在2007-9-6 10:33:48的发言:

\0代表什么?

\0代表字符串结束,
也就是说"C:\xxx\xxx.asp\0.jpg"
某些上传类是取路径字符串的最后3个字符来判断文件类型,而这时jpg是合法的文件类型。
但当程序将路径给ADOBD.Stream处理时,\0后面的就被省略掉了这时。
路径就是"C:\xxx\xxx.asp"也就是说真正上传的并不是jpg图片,而是ASP文件。
解决办法就是在上传类验证类型之前加代码过滤\0之类的非法字符。
http://hi.baidu.com/totaobao/blog/item/e6c83dfabaac2c889f514655.html
或者可以参考这样的办法,上传后判断文件类型,属于非法类型文件。
就把文件删除或者内容写成空。

2007-09-06 13:00
flynet
Rank: 3Rank: 3
来 自:北京
等 级:论坛游民
威 望:7
帖 子:352
专家分:60
注 册:2007-1-28
收藏
得分:0 
回复:(yms123)以下是引用flynet在2007-9-6 10:33:4...
哇 受益匪浅啊!!! 能不能再把\0之类的东西 说的全面点 包括他的意思 谢谢啦~~~ 这些都是我所不知道的

代码过滤\0之类的非法字符 是不是用 replace 替换啊 是在上传地址中 过滤吧

[此贴子已经被作者于2007-9-6 13:24:16编辑过]


PHP 新人 不断学习进取中。。。
2007-09-06 13:15
flynet
Rank: 3Rank: 3
来 自:北京
等 级:论坛游民
威 望:7
帖 子:352
专家分:60
注 册:2007-1-28
收藏
得分:0 
回复:(yms123)以下是引用flynet在2007-9-6 10:33:4...

我使用的是化境无组件上传 我测试了下 那个后面跟\0.jpg的方法 也不能让asp文件上传上去 是不是就算是阻止了这种方法的木马上传呢?


PHP 新人 不断学习进取中。。。
2007-09-06 16:49
yms123
Rank: 16Rank: 16Rank: 16Rank: 16
等 级:版主
威 望:209
帖 子:12488
专家分:19042
注 册:2004-7-17
收藏
得分:0 
以下是引用flynet在2007-9-6 16:49:35的发言:

我使用的是化境无组件上传 我测试了下 那个后面跟\0.jpg的方法 也不能让asp文件上传上去 是不是就算是阻止了这种方法的木马上传呢?

有些无组件上传已经弥补了这个漏洞。

2007-09-06 16:55
sbypmqq
Rank: 1
等 级:新手上路
帖 子:4
专家分:0
注 册:2007-6-18
收藏
得分:0 
2007-09-09 22:25
快速回复:[讨论]asp网站攻击方法(讨论前言)
数据加载中...
 
   



关于我们 | 广告合作 | 编程中国 | 清除Cookies | TOP | 手机版

编程中国 版权所有,并保留所有权利。
Powered by Discuz, Processed in 0.023967 second(s), 7 queries.
Copyright©2004-2024, BCCN.NET, All Rights Reserved