28,406
社区成员
发帖
与我相关
我的任务
分享有没有无上传漏洞的ASP无组件上传组件或类? 我用了好几种上传方法,但网站还是给别人黑了一次又一次,各位兄弟救命啊!!!
我用了好几种上传方法,但网站还是给别人黑了一次又一次,各位兄弟救命啊!!!
...全文
请发表友善的回复…
发表回复
zktz1 2005-04-24
- 打赏
- 举报
楼上比较厉害
lovebanyi 2005-04-24
- 打赏
- 举报
上传的文件名。。改成随机。后缀名改成强制某个后缀名就可以没事了。比如gif jpg全部改成jpg
junyouhuang 2005-04-24
- 打赏
- 举报
求救:能教我一下怎么用iis吗?非常急?qq:30811954
junyouhuang 2005-04-24
- 打赏
- 举报
求救:能教我一下怎么用iis吗?非常急?qq:30811954
woaxx 2005-04-24
- 打赏
- 举报
限制用户使用FileSystemObject对象,一种极端的做法是完全反注册掉提供FileSystemObject对象的那个组件,也就是Scrrun.dll。具体的方
法如下:
在MS-DOS状态下面键入:
Regsvr32 /u c:\windows\system\scrrun.dll
(注意:在实际操作的时候要更改成为你本地的实际路径)
但是,显而易见,如果这样做,那么包括站点系统管理员在内的任何人都将不可以使用FileSystemObject对象了,这其实并不是站点管理人员想要得到的结果,毕竟
我们使用这个对象可以实现方便的在线站台管理,如果连系统管理员都没法使用了,那可就得不偿失了,但是不禁止这个危险的对象又会给自己的站点带来安全漏洞。那么
有没有两全其美的方法呢?有!具体方法如下:
我们可以做到禁止他人非法使用FileSystemObject对象,但是我们自己仍然可以使用这个对象.
方法如下:
查找注册表中
HKEY_CLASSES_ROOT\Scripting.FileSystemObject 键值
将其更改成为你想要的字符串(右键-->"重命名"),比如更改成为
HKEY_CLASSES_ROOT\Scripting.FileSystemObject2
这样,在ASP就必须这样引用这个对象了:
Set fso = CreateObject("Scripting.FileSystemObject2")
而不能使用:
Set fso = CreateObject("Scripting.FileSystemObject")
如果你使用通常的方法来调用FileSystemObject对象就会无法使用了。
呵呵,只要你不告诉别人这个更改过的对象名称,其他人是无法使用FileSystemObject对象的。这样,作为站点管理者我们就杜绝了他人非法使用FileSystemObject
对象,而我们自己仍然可以使用这个对象来方便的实现网站在线管理等等功能了!
(以上方法在Win98+PWS以及WinNT4+IIS4环境下测试通过)
法如下:
在MS-DOS状态下面键入:
Regsvr32 /u c:\windows\system\scrrun.dll
(注意:在实际操作的时候要更改成为你本地的实际路径)
但是,显而易见,如果这样做,那么包括站点系统管理员在内的任何人都将不可以使用FileSystemObject对象了,这其实并不是站点管理人员想要得到的结果,毕竟
我们使用这个对象可以实现方便的在线站台管理,如果连系统管理员都没法使用了,那可就得不偿失了,但是不禁止这个危险的对象又会给自己的站点带来安全漏洞。那么
有没有两全其美的方法呢?有!具体方法如下:
我们可以做到禁止他人非法使用FileSystemObject对象,但是我们自己仍然可以使用这个对象.
方法如下:
查找注册表中
HKEY_CLASSES_ROOT\Scripting.FileSystemObject 键值
将其更改成为你想要的字符串(右键-->"重命名"),比如更改成为
HKEY_CLASSES_ROOT\Scripting.FileSystemObject2
这样,在ASP就必须这样引用这个对象了:
Set fso = CreateObject("Scripting.FileSystemObject2")
而不能使用:
Set fso = CreateObject("Scripting.FileSystemObject")
如果你使用通常的方法来调用FileSystemObject对象就会无法使用了。
呵呵,只要你不告诉别人这个更改过的对象名称,其他人是无法使用FileSystemObject对象的。这样,作为站点管理者我们就杜绝了他人非法使用FileSystemObject
对象,而我们自己仍然可以使用这个对象来方便的实现网站在线管理等等功能了!
(以上方法在Win98+PWS以及WinNT4+IIS4环境下测试通过)
yb2008 2005-04-22
- 打赏
- 举报
把你后台的安全性做好,防sql注入,用户密码用md5加密....做好登录验证,,,,
--------------------------
楼主要给分我哦.....
--------------------------
楼主要给分我哦.....
man2004 2005-04-22
- 打赏
- 举报
怎么写呢?请指教
arrowy 2005-04-22
- 打赏
- 举报
自己写
mrshelly 2005-04-22
- 打赏
- 举报
http://yuqiao.blogbus.com/logs/2004/07/263239.html~~~~~
cyl180555 2005-04-22
- 打赏
- 举报
我公司的网站也是经常因为上传漏洞被黑 后来我就好好研究了一下这方面的程序 首先对文件的扩展名检测更严格一些 其次我用了一招更绝的 每次上传完毕对上传文件夹所有文件再检查一遍 有特殊的全部删除。 说明一下 我用的上传程序是在指定文件夹下再建立以年份加月份为名称的文件夹 我做过测试 每个文件夹下有4000左右的图片时耗时比正常情况多了2秒左右 我觉得还可以接受。 这样就算有黑客上传了比较危险的asp、asa、aspx文件也会马上被删除了!!!
tyhn168 2005-04-22
- 打赏
- 举报
啊,关注中!
