本人有闲置12寸汽车吸顶视频一台，本来是买了自己车 - 常州数码产品 - 百姓网
&&关注百姓微信公众号，尽享快捷刷新、信息推送、抽奖活动等众多微信功能您只需要：1 &用微信“扫一扫”右边的二维码2 &在微信中“关注”我们&|&|||||本人有闲置12寸汽车吸顶视频一台，本来是买了自己车&提示信息设置为“搞定了！”状态后，其他用户将无法查看您的联系方式。您确认搞定了这条信息吗？提示重新发布后可使用“刷新”将发布时间更新为最新时间，并将信息排到第一页。&&11月18日 7:22 &...次浏览 &信息编号： &1358431****(常州)&&百姓网号码保护功能介绍&&拨打百姓400转呼电话绝不收取您任何额外费用，该信息发布人仍能看到您的来电号码。联系时，请一定说明在百姓网看到的，谢谢！见面最安全，发现问题请举报。价格：500元元地区：来源：个人
本人有闲置12寸汽车吸顶视频一台，本来&&是买了自己车上安装的，后因车有天窗无法安装，有意者可以联系本人，买时价格680元，现价500元给有意者，只要接车顶灯电源就可用，可插光盘打游戏，插优盘插卡，原包装 联系我时，请说是在赶集网看到的，谢谢！500元元左右 数码产品 信息500元500元500元&/&其他500元450元元450元元470元500元500元450元480元500元480元500元499元元450元元500元元500元元500元元500元元该用户其他信息11月18日&面议元11月17日&500元
赞助商链接
反馈建议描述：请填写描述手机号：请填写手机号请填写手机号13.<%set connGlobal = server.createobject("ADODB.Connection")connGlobal.Open "DSN=User=sa"mSQL = "arb SQL Statement"set rsGlobal = connGlobal.execute(mSQL)While not rsGlobal.eofResponse.Write rsGlobal("resultfrommiscdb")rsGlobal.movenextwend'rsGlobal.close'set rsGlobal = nothing'connGlobal.close'set connGlobal = nothing' Note we do NOT close the connection%><%set connGlobal = server.createobject("ADODB.Connection")connGlobal.Open "DRIVER={Microsoft Access Driver (*.mdb)};DBQ=d:\data\misc.mdb"mSQL = "arb SQL Statement"set rsGlobal = connGlobal.execute(mSQL)While not rsGlobal.eofResponse.Write rsGlobal("resultfrommiscdb")rsGlobal.movenextwendrsGlobal.closeset rsGlobal = nothingconnGlobal.closeset connGlobal = nothing' Note we DO close the connection%>　　在这种情况下，IIS处理进程将会停顿，CPU使用率由于inetinfo.exe进程将达到100%。只有重新启动计算机才能恢复。12、ASP主页.inc文件泄露问题　　漏洞描述：　　受影响的版本:任何提供ASP服务的系统　　远程:YES / 本地:YES　　内容摘要:　　当存在asp的主页正在制作并没有进行最后调试完成以前，可以被某些搜索引擎机动追加为搜索对象，如果这时候有人利用搜索引擎对这些网页进行查找，会得到有关文件的定位，并能在浏览器中察看到数据库地点和结构的细节揭示完整的源代码。　具体操作过程是：- 利用搜索引擎查找包含+"Microsoft VBScript 运行时刻错误执行搜索" +".inc ，" 的关键字- 搜索引擎会自动查找包含asp的包含文件(.inc)并显示给用户- 利用浏览器观看包含文件的源代码，其中可能会有某些敏感信息　漏洞的利用:例子:- 暴露数据库连接和性质, 资源地点, 小甜饼逻辑,服务器 IP 地址- 暴露数据库性质- 暴露 cobranding- 暴露 datafile 地点和结构- 包括数据库结构为 StoreFront 2000 暴露源代码- 暴露搜索引擎记录文件- 暴露成员电子邮件地址- 暴露成员私人的注释文件- 暴露 cookie 逻辑　　解决方案:　　- 搜索引擎应该不索引有 asp 运行时刻错误的页　　- 程序员应该在网页发布前对其进行彻底的调试　　- 安全专家需要固定 asp 包含文件以便外部的用户不能看他们　　asp 新闻组、站点提供两个解决方案对这个漏洞进行修正，首先对 .inc 文件内容进行加密，其次也可以使用 .asp 文件代替 .inc 文件使用户无法从浏览器直接观看文件的源代码。.inc 文件的文件名不用使用系统默认的或者有特殊含义容易被用户猜测到的，尽量使用无规则的英文字母。13、利用Activer server explorer可对文件进行读写访问　　漏洞描述：　　chinaasp的Activer server explorer可以很方便的对本地文件在线查看服务器上的目录 在线查看文件的名称、大小、类型、修改时间,在线编辑纯文本文件，如.txt、.htm、.asp、.pl、.cgi等等,直接执行服务器上的文件。　　Activer server explorer要求填写相对路径或者绝对路径，但是假如：有一个攻击者把Activer server explorer上传到目标服务器上的某个目录，并且这个目录支持ASP的话，那么他就可以通过Activer server explorer修改、执行目标服务器上的文件。这种情况可以发生在一个攻击者拥有目标NT服务器上的一个可写目录帐号，并且这个目录又支持ASP。比如一些支持ASP的个人免费主页服务器，把Activer server explorer先传上你申请的免费主页空间，再通过各种方法得到目标服务器的路径，(比如可通过漏洞："请求不存在的扩展名为idq或ida 文件，会暴露文件在服务器上的物理地址.").或者直接在相对路径上填"."，一般是默认。这样攻击者就能任意修改，执行目标服务器上的文件，不管他对这个文件有无读写访问权。　　所以那些提供有ASP服务的个人主页或者其它服务的服务器，就要加倍小心这种攻击了。　　漏洞解决方法　　其实Activer server explorer就是利用了上面讲的漏洞　4　filesystemobject 组件篡改下载 fat 分区上的任何文件的漏洞。　　那么我们如何才能限制用户使用FileSystemObject对象呢？一种极端的做法是完全反注册掉提供FileSystemObject对象的那个组件，也就是Scrrun.dll。具体的方法如下：　　在ＭＳ－ＤＯＳ状态下面键入：Regsvr32 /u c:\windows\system\scrrun.dll（注意：在实际操作的时候要更改成为你本地的实际路径）　　但是这样的话，就不能使用FileSystemObject对象了，有时利用FileSystemObject对象来管理文件是很方便，有什么办法能两全其美呢？　　我们可以做到禁止他人非法使用FileSystemObject对象,但是我们自己仍然可以使用这个对象.　　方法如下:　　查找注册表中　　HKEY_CLASSES_ROOT\Scripting.FileSystemObject 键值　　将其更改成为你想要的字符串(右键-->"重命名"),比如更改成为　　HKEY_CLASSES_ROOT\Scripting.FileSystemObject2　　这样,在ASP就必须这样引用这个对象了:　　Set fso = CreateObject("Scripting.FileSystemObject2")　　而不能使用:　　Set fso = CreateObject("Scripting.FileSystemObject")　　如果你使用通常的方法来调用FileSystemObject对象就会无法使用了。　　只要你不告诉别人这个更改过的对象名称，其他人是无法使用FileSystemObject对象的。这样，作为站点管理者我们就杜绝了他人非法使用FileSystemObject对象，而我们自己仍然可以使用这个对象来方便的实现网站在线管理等等功能了！14、 IIS4.0/IIS5.0超长文件名请求存在漏洞　　漏洞描述：　　受影响的版本:Microsoft IIS 5.0+ Microsoft Windows NT 2000Microsoft IIS 4.0+ Microsoft Windows NT 4.0+ Microsoft BackOffice 4.5- Microsoft Windows NT 4.0+ Microsoft BackOffice 4.0- Microsoft Windows NT 4.0　　当在一个已知的文件名后加230个"%20"再加个.htr，会使安装有Microsoft IIS 4.0/5.0泄漏该文件的内容。这是由ISM.dll映射的.htr文件引起的.比如：.htr这种请求只有当.htr请求是第一次调用或者ISM.dll第一次装载进内存，才能起作用。　　解决方法：　　安装补丁：Microsoft IIS 5.0:Microsoft IIS 4.0:
bnet的签名
<div style="overflow:max-height:100-height:expression(this.offsetHeight
100?'100px':(this.offsetHeight + 'px')));">[url=][size=4][color=blue]【思考机器！诚信为本！信誉典范！】[/color][/size]
超越PD925的厚道机：1U 300W+945GC+E2140双核+2G+160G16M企业版=1999
抢购热线：7,QQ[/url]
Microsoft推出的asp以简单，易用，多功能，可扩充性等强大功能得到了网友和大多数网管的青睐，大有完全替代cgi的趋势，但是在这里也存在一些问题，如果在使用asp的话，你网络的安全同时也大大降低了！下面为大家举一个例子，请按照下面的步骤：1，下载这个文件http：//home.gbsource.net/xuankong/dll.zip，解压缩后吧其中的test.dll文件拷贝到c：\windows\system（如果你使用的是NT的话，请拷贝到相应的目录中）；2，接下来打开“开始/运行”菜单输入“regsvr32test.dll”命令；3，拷贝解压缩后的文件包中的那个index.asp到你的服务器目录（如果你使用的是PWS调试可以拷贝到“c:\inetpub\wwwroot“，NT请拷贝到相应的目录）；4，换一台机器用IE浏览index.asp文件看一看（你看到的是出错代码，但是实际上程序已经运行了），你再返回你的机器看一看c:\下面是不是多了一个文件？一个名为xuankong.dat的文件（其实如果我愿意，你的c:\autoexec.bat文件页可以被我打开并写进去一些像"format c:/q/u"等命令，那么等你下次重新启动的时候，嘿嘿。）下面我们来看一下到底是怎么回事，你刚才拷贝的那些dll文件其实是我使用Visul Basic5开发的一个主件：1，打开VB5新建一个“ActiveX.dll”文件，吧下面的代码输入进去：Private Declare Function ExitWindowsEx Lib "user32"_(ByVal uFlags As Long,ByVal dwReserved As Long)_As LongSub Xuankong() "请不要加上“private”a$=InputBox("请输入你的姓名，如果你输入的是"xuankong""+Chr(13)+Chr(10)+"则会在你的系统中生成一个"xuankong"文件"+Chr(10)+Chr(13)+"否则你的机器可能会重起","请输入","xuankong")If a$="xuankong" ThenOpen "c:\xuankong.dat" For Append As #Write#1,"我的朋友，这是一个asp主件测试程序"#Write#1,"hello world!this is a test"#Write#1,"如果你看到这个文件测试就成功！"elseExitWindowsEx&H43,0'使用API函数重新启动机器End ifClose #1End sub2，把工程名改为dll，类模块改为test，然后把这个工程生成dll文件到c:\windows\system目录下面。3，新建一个index.asp文件下面的代码输入进去：这是一个关于asp主件的测试4，拷贝index.asp到你的服务器内，按照上面的方法调试！上面所说的是asp主件的安全问题！另外如果有些作者再写asp主件的时候不小心留下系统bug！那就更加不容易发现了！
bnet的签名
<div style="overflow:max-height:100-height:expression(this.offsetHeight
100?'100px':(this.offsetHeight + 'px')));">[url=][size=4][color=blue]【思考机器！诚信为本！信誉典范！】[/color][/size]
超越PD925的厚道机：1U 300W+945GC+E2140双核+2G+160G16M企业版=1999
抢购热线：7,QQ[/url]
现在国内提供支持ＡＳＰ的免费空间越来越多了，对于ＡＳＰ爱好者来说无疑是个好的势头，但是很多提供免费ＡＳＰ空间的站点都没有对FileSystemObject这个对象做出任何限制，这也就导致了安全问题。比如，今年愚人节“东莞视窗”所有的主页都遭到了黑客的攻击，其实做这件事情很简单，就是使用FileSystemObject对象，具体的程序就不再讨论了。而另外一个比较有名的提供ＡＳＰ空间的站点“网界”同样也存在这个安全漏洞，很容易遭到攻击。不仅仅是这些提供免费空间的站点存在这个安全漏洞，很多国内的虚拟主机提供商同样也存在这个安全隐患。这样给商业用户带来的危害就很大了。　　那么我们如何才能限制用户使用FileSystemObject对象呢？一种极端的做法是完全反注册掉提供FileSystemObject对象的那个组件，也就是Scrrun.dll。具体的方法如下：　　在ＭＳ－ＤＯＳ状态下面键入：Regsvr32 /u c:\windows\system\scrrun.dll（注意：在实际操作的时候要更改成为你本地的实际路径）　　但是，显而易见，如果这样做，那么包括站点系统管理员在内的任何人都将不可以使用FileSystemObject对象了，这其实并不是站点管理人员想要得到的结果，毕竟我们使用这个对象可以实现方便的在线站台管理，如果连系统管理员都没法使用了，那可就得不偿失了，但是不禁止这个危险的对象又会给自己的站点带来安全漏洞。那么有没有两全其美的方法呢？有！具体方法如下：　　我们可以做到禁止他人非法使用FileSystemObject对象,但是我们自己仍然可以使用这个对象.　　方法如下:　　查找注册表中　 HKEY_CLASSES_ROOT\Scripting.FileSystemObject 键值　　将其更改成为你想要的字符串(右键-->"重命名"),比如更改成为　 HKEY_CLASSES_ROOT\Scripting.FileSystemObject2　　这样,在ASP就必须这样引用这个对象了:　 Set fso = CreateObject("Scripting.FileSystemObject2")　　而不能使用:　 Set fso = CreateObject("Scripting.FileSystemObject")　　如果你使用通常的方法来调用FileSystemObject对象就会无法使用了。　　呵呵，只要你不告诉别人这个更改过的对象名称，其他人是无法使用FileSystemObject对象的。这样，作为站点管理者我们就杜绝了他人非法使用FileSystemObject对象，而我们自己仍然可以使用这个对象来方便的实现网站在线管理等等功能了！
bnet的签名
<div style="overflow:max-height:100-height:expression(this.offsetHeight
100?'100px':(this.offsetHeight + 'px')));">[url=][size=4][color=blue]【思考机器！诚信为本！信誉典范！】[/color][/size]
超越PD925的厚道机：1U 300W+945GC+E2140双核+2G+160G16M企业版=1999
抢购热线：7,QQ[/url]
第一部分：跨站Script攻击每当我们想到黑客的时候，黑客往往是这样一幅画像：一个孤独的人，悄悄进入别人的服务器中，进行破坏或者窃取别人的秘密资料。也许他会更改我们的主页，甚者会窃取客户的信用卡号和密码。另外，黑客还会攻击访问我们网站的客户。与此同时，我们的服务器也成了他的帮凶。微软称这种攻击为“跨站script”攻击。而这种攻击大多数都发生在网站动态产生网页的时侯，但黑客的目标并不是你的网站，而是浏览网站的客户。跨站script攻击的说明　　在一本名为<>的杂志中，CERT警告大家：如果服务器对客户的输入不进行有效验证，黑客就会输入一些恶意的HTML代码，当这些HTML代码输入是用于SCRIPT程序，他们就能利用它来进行破坏，如插入一些令人厌恶的图片或声音等，同时，也能干扰了客户正确浏览网页。　　我们知道，有些朋友曾经被诱导到一些可疑的免费网站，他们得到的仅仅是10到20个小的窗口，这些窗口常常伴随着由JAVA 或 JAVASCRIPT生成的失效安钮，这被称为鼠标陷阱。关闭这些窗口是徒劳的，每当我们关闭一个窗口，又会有10几个窗口弹出。这种情况常常发生在管理员没在的时侯发生。鼠标事件是黑客利用跨站SCRIPT方法攻客户的典型范例。　　恶意的标签和SCRIPT不单纯的恶作剧，他们甚至可以窃取资料和捣毁系统。一个聪明的甚至是不够聪明的黑客都能够使用SCRIPT干扰或者改变服务器数据的输入。利用SCRIPT代码也能攻击客户系统，让你的硬盘尽损。而且你要知道，在你一边使用服务器的时候，黑客的SCRIPT也正在你服务器里安全的地方运行着的呀！如果客户对你的服务器非常信认，同样他们也会信任那些恶意的SCRIPT代码。甚至这个代码是以〈SCRIPT〉或者〈OBJECT〉的形式来自黑客的服务器。　　即使使用了防火墙（SSL）也不能防止跨站SCRIPT的攻击。那是因为如果生成恶意SCRIPT代码的设备也使用了SSL，我们服务器的SSL是不能辨别出这些代码来的。我们难道就这样把客户曾经那么信任的网站拱手让给黑客吗？而且有这种破坏的存在，会让你网站名誉尽损的。一、跨站SCRIPT攻击示例：　　根据CERT的资料，动态输入大致有这几种形式：URL参数，表格元素，COOKISE以及数据请求。让我们来分析一下，这个只有两个页面的网站，网站名为：。第一页使用一张表格或COOKIE来获取用户名：<% If Request.Cookies("userName")
"" ThenDim strRedirectUrlstrRedirectUrl = "page2.asp?userName="strRedirectUrl = strRedirectUrl & Response.Cookies("userName")Response.Redirect(strRedirectUrl)Else %>< Home Page<Enter
username:第二页返回用户名以示欢迎：<% Dim strUserNameIf Request.QueryString("userName") "" ThenstrUserName = Request.QueryString("userName")ElseResponse.Cookies("userName") = Request.Form("userName")strUserName = Request.Form("userName")End If %>Hello:
　　当你正常常输入文字时，一切都很正常。如果你输入Script代码：,JavaScript警告标签就会弹出来：　　在你下一次访问时，这个警示标签同样会出现；这是因为这个Script代码在你第一次访问的时后就已经留在cookie中了。这是一个简单的跨站攻击的范例。　　如果你认为这是一个特殊情况，你也不妨到网上别的地方看看，亲自试一下。我曾经对一些大型的政府网站、教育网站以及商业网站进行过测试，他们当中的确有部分出现了以上所说的情况，我甚至发现了我经常使用信用卡的网站也居然对输入不进行任何过滤，想想真是可怕。 二、 用E-Mail进行跨站Script攻击　　跨站script攻击用在列表服务器，usenet服务器和邮件服务器来得特别容易。下面还是以网站为例进行说明。由于你经常浏览这个网站，它的内容也的确让你爱不爱不释手，因此在不知不觉中你就把浏览器的改成了总是信任这个动态网站内容的设置。　　网站总是通过出售征订它们Email信件的邮箱地址来获得收入，这的确是一种不太好的办法。于是我买了它的一份邮箱地址。并发了大量的邮件给你们。在信中我告诉你们尽快访问这个网 站，并检查你们帐户使用的最新情况。为了让你们感到方便，我在这信中也作了链接。我在这链接URL中的username参数中舔加了script代码。有些客户在不知不觉中就点击了这个链接，也就是说上了我的当(如图)，同时我也从中得到了好处：　　它是这样工作的，当你点击这个链接的时后，在链接里的script代码就会引导你所用浏览器去下载我的JavaScript程序并执行它。我的Script检查到你使用的是IE浏览器后，就着手下载ActiceX控件 particularlyNasty.dll。因为之前你已经把这个网站的内容认为总是安全的，这样，我的script代码和Active 控件就能在你机器上自由自在的运行了。三、 Activex攻击说明　　在讨论ActiveX时，CERT和微软都没提到跨站script方法所带来的的危险。W3C在<>中对ActiveX的安全问题作了比较详尽的说明。Java applet对系统的控制受到严格限制。SUN开发它时就规定，只有那些对系统的安全不构成威胁的操作才被允许运行。　　在另一方面，ActiveX对系统的操作就没有严格地被限制。如果一但被下载，就可以象安装的可执行程序一样做他们想干的事情。针对这一特点IE浏览器也作了某些限制，如对于那些不安全的站点，在它的默认设置中就会不允许你进行下载或者会给你警告的提示。正在基于ActiveX进行开发的公司，如VeriSign公司，它们对ActiveX控件都给编了号。当你在下载控件的时后，IE浏览器会给你警告并显示它的可信籁程度。由用户决定是否相信这个控件。这样一来系统的安全性就增加了。　　但是，对于那些没有多少经验的用户来说，他们往往不自觉地对原来的设置进行了修改，让这些控件在没有任何提示的情况下就下载了。另外，对一个新手来说，即使在有提示的情况下也会不加思索地下载那些没作任何标记的控件。在我们所举的例子中，由于你对该站点的信任，改了浏览器的设置，这样，ActiveX控件在不经过任何提示的情况下就下载，并在你的机器上不知不觉地开始运行。四、16进制编码的ActiveX Script 攻击　　要把用心不良的标签和script区分出来是一件非常困难的事。Script还可以16进制的形式把自己藏起来。让我们看看下面这个E-mail范例好吗？它是以16进制的形式被发送出去的：　　这几乎是一封完整的邮件，里面包含了以16进制伪造的URL参数：。当用户点击链接时，用户的浏览器就会直接开始第一例所说的处理过程而弹出警告窗口。 第二部分：跨站Script攻击的防犯一、如何避免服务器受到跨站Script的攻击　　值得庆幸的是，防止跨站Script攻击的技术正趋于完善。目前可采取这几种方式来防止跨站Script的攻击：1.对动态生成的页面的字符进行编码2.对输入进行过滤和限制3.使用HTML和URL编码1.对动态生成的页面的字符进行编码　　你们首先要采用的就是对动态生成页面的字符进行编码，你必须这样做，不然黑客很有可能更改你的字符设置而轻易地通过你的防线。如果我们的网站是个英语网站，这样只要我们把字符编码设成拉丁字符ISO-8859-1就行了，具体情况如下：2.过滤和限制所有输入的数据　　这是防止跨站Script的攻击的第二种方法，在进行登录的时侯，不要让那些特殊的字符也输入进去。因此我们可在ONSUBMIT方法中加入JAVASCRIPT程序来完成这个功能。在本例中我们限制最多只能输入15个字符。这样可以阻止那些较长的script的输入。　　在<>这本书中微软提供了一个简短的Javascript程序来完成对输入数据的过滤。我们也根据具体情况引进了这段代码用于我们的例子中，如：function checkForm() {document.forms[0].userName.value = _RemoveBad(document.forms[0].userName.value);}// MICROSOFT'S CODEfunction RemoveBad(strTemp) {strTemp = strTemp.replace(/\/\"/\'/\%/\;/\(/\)/\&/\+/\-/g,"");return strT}用这个办法，可以过滤在输入中含有的这些字符：%
[ ] { } ; & + - " '( )3.使用HTML和URL编码　　尽管使用上面所说的过滤和限制输入的办法是一种非常重要用防御手段，但它对我的这种采用邮件方式的攻击还是无能为力。因为我把URL的参数直接放在邮件中。针对这种情况我们不得不采取一种更有力的安全措施。如果我们用的ASP，解决起来相对说来要容易得多。只要对动态生成的网页总进行HTML和URL编码就行了。针对我们例子中的情况，在第一输入页中我们对redirect URL作了如下改动：strRedirectUrl = strRedirectUrl & _server.URLEncode(Response.Cookies("userName"))在执行页中我们加入：strUserName =server.HTMLEncode(Request.QueryString("userName"))和strUserName =server.HTMLEncode(Request.Form("userName"))　　微软推荐对所有动态页面的输入和输出都应进行编码。甚至在对数据库数据的存入和取出也应如此。这样你就能在很大程度上避免跨站script的攻击。要做到这些还要在Page1.asp中加入：<% If Request.Cookies("userName")
"" Then'redirect if detect the cookieDim strRedirectUrlstrRedirectUrl = "page2.asp?userName="strRedirectUrl = strRedirectUrl & _server.URLEncode(Request.Cookies("userName"))Response.Redirect(strRedirectUrl)Else %>< Home Page<Enter
username:Page2.asp中加如：<% Dim strUserNameIf Request.QueryString("userName")"" ThenstrUserName =server.HTMLEncode(Request.QueryString("userName"))ElseResponse.Cookies("userName") =Request.Form("userName")strUserName = server.HTMLEncode(Request.Form("userName"))End If %>Hello: 　　现在由于这种攻击遭到有效的防制。那于那些恶意的标签和Script被编码，他们就被以文字的形式显现了出来，如下图：　　我们也可增加一个IIS组件用于过滤所有从动态输入中的特殊字符。对于那些已经做好的网站，采用这种办法来防止跨站script的攻击来得非常容易。我们的这个控件能拦截来自ASP页面的REQUEST目标，可对表格，cookie,请求字串和程序的内容进行检测：　　我们也可以通过编写log文件的方法把统计数据加入这个组件中。每当一个客户输入一个非法字符时，这个组件会记下它的IP地址和时间。详情请见Doug Dean的<>一文。　　我们只需采取一些简单的步聚就能有效地阻止跨站script的攻击。除了以上所说的三种方法外，微软和CERT还强烈推荐使用一种他们称之为“sanity check”的方法。例如，假设有个输入窗口只允许输入数字，我们就给它做个限定，只允许0-9数字的输入。微软和CERT所采用的这种对输入的字符进行限定的办法要比单独的采用过滤特殊字符要好得多。采用了这些措施后你就能让那些参观你网站的客户在访问你网站时受到保护。二、免受黑客攻击我们浏览器方法：　　当你在网上漫游的时侯，怎样来避免受到攻击呢？微软和CERT建议不要在网上胡碰乱撞。针对这种情况，PC杂志一个栏目的名叫John Dvorack作者作了一个饶有兴趣的回答。他认为这是微软公司一起有预谋的行为：就是用来恐吓网上冲浪的人到那些安全的站点去浏览，如美国在线和网站。　　在我们所举的例子中，即使你不在网上胡乱游荡，也不能避免在网上遭到黑客的袭击。具有讽刺意义的是，大多数的危险都来自于我们最信任的网站。如果要让网站一定不出问题，你只好不下载任何动态内容或者任何cookie。预知详情请参阅浏览器的相关资料。　　微软也警告你们应把浏览器的Active Script设置成严格限制的状态并把Email也设成严格限制的接收模式。在点击邮件中的链接时，一定要小心。如需进一步了解情况请参阅一本名叫<>的书。为了以防万一，你最好是多一点上网经验，并且时刻要小心谨慎。结论　　如果你是以前的UNIX程序开发人员，你也许不会知道跨站script意谓着什么。你知道许多站点的管理人员登录的用户名和密码分别为root,root.同样许多数据库管理员的名称和密码分别为sa,password。你也知道Webzine(如Phrack 和 Alt2600)，依据他们所提供的方法能让你一步步地知道某台服务器的弱点。在这种硬件上，你也知道许多网站的数据库服务器和web服务器都没有进行自我保护。一但遭遇黑客，机器就得瘫痪。　　尽管我们很容易采取防止系统受到黑客的攻击的措施，但我们的系统是一直暴露在黑客面前的。我们完全有理由相信下一年还会出现一些新的安全漏洞。在CERT公司John Howard先生指导下完成的一篇论文中曾提到：“跟据目前的研究显示，每个在英特网上具有域名的网站平均一年被黑客至少攻击一次。”　　对服务器来说那怕只是一次这种攻击也是不能承受的。跨站Script攻击是黑客可采用的另一种方法。但我们只要进行以上所说的一些简单的处理就能防止这种形式攻击的发生。
bnet的签名
<div style="overflow:max-height:100-height:expression(this.offsetHeight
100?'100px':(this.offsetHeight + 'px')));">[url=][size=4][color=blue]【思考机器！诚信为本！信誉典范！】[/color][/size]
超越PD925的厚道机：1U 300W+945GC+E2140双核+2G+160G16M企业版=1999
抢购热线：7,QQ[/url]
本文主要叙及有关asp/iis的安全性问题及其相应对策，不提倡网友使用本文提及的方法进行任何破坏，否则带来的后果自负通过asp入侵web server,窃取文件毁坏系统，这决非耸人听闻...iis的安全性问题1.iis3/pws的漏洞我实验过，win95+pws上运行ASP程序，只须在浏览器地 址栏内多加一个小数点ASP程序就会被下载下来。IIS3听说也有同样的问题，不过我没有试出来。2.iis4的漏洞iis4一个广为人知的漏洞是::$DATA，就是ASP的url后多加这几个字符后，代码也可以被看到，使用ie的view source就能看到asp代码。Win98+pws4没有这个问题。解决的办法有几种，一是将目录设置为不可读（ASP仍能执行），这样html文件就不能放在这个目录下，否则html不能浏览。二是安装微软提供的补丁程序。三是在服务器上安装ie4.01sp1。3.支持ASP的免费主页面临的问题你的ASP代码可能被人得到。ASP1.0的例子里有一个文件用来查看ASP原代码，/ASPSamp/Samples/code.asp如果有人把这个程序弄上去了，他就可以查看别人的程序了。例如: code.asp?source=/someone/aaa.asp你使用的ACCESS数据库可能被人下载既然ASP程序可以被人得到，别人就能轻而易举的知道你的数据库放在何处，并下载它，如果数据库里含有的密码不加密，那...就很危险了。webmaster应该采取一定的措施，严禁code.asp之类的程序（似乎很难办到，但可以定期检索特征代码），限制mdb的下载（不知行不行）4.来自filesystemobject的威胁IIS4的ASP的文件操作可以通过filesystemobject实现，包括文本文件的读写目录操作、文件的拷贝改名删除等，但是这个东东也很危险。利用filesystemobjet可以篡改下载fat分区上的任何文件，即使是ntfs，如果权限没有设定好的话，同样也能破坏，遗憾的是很多webmaster只知道让web服务器运行起来，很少对ntfs进行权限设置。比如，一台提供虚拟主机服务的web服务器，如果权限没有设定好，用户可以轻而易举地篡改删除机器上地任何文件，甚至让nt崩溃。程序请参考/chinaasp/上的active server explorer，该程序可以浏览不设防web服务器的所有文件和目录。webmater应该将web目录建在ntfs分区上，非web目录不要使用everyone full control,而应该是administrator才可以full control。
bnet的签名
<div style="overflow:max-height:100-height:expression(this.offsetHeight
100?'100px':(this.offsetHeight + 'px')));">[url=][size=4][color=blue]【思考机器！诚信为本！信誉典范！】[/color][/size]
超越PD925的厚道机：1U 300W+945GC+E2140双核+2G+160G16M企业版=1999
抢购热线：7,QQ[/url]
动易产品与服务
|&#160;&#160;&#160;&#160;动易产品销售咨询区
|&#160;&#160;&#160;&#160;动易主机业务咨询区
|&#160;&#160;&#160;&#160;动易短信通咨询区
|&#160;&#160;&#160;&#160;非技术问题和建议收集区
动易产品区交流与讨论
|&#160;&#160;&#160;&#160;SiteFactory交流区
|&#160;&#160;&#160;&#160;BizIdea交流区
|&#160;&#160;&#160;&#160;SiteWeaver交流区
|&#160;&#160;&#160;&#160;动易2006及以前版本讨论区
站长学习交流区
|&#160;&#160;&#160;&#160;我与动易的故事
|&#160;&#160;&#160;&#160;网站安全讨论区
论坛事务管理与监督
|&#160;&#160;&#160;&#160;论坛公告区}