110,571
社区成员
发帖
与我相关
我的任务
分享《安全问题》关于AspNet权限的问题
首先我们的IIS站点的目录须要有AspNet用户的读取权限,否则会出现对“E:\xxx\”的访问被拒绝。未能开始监视文件更改。
假设目录在E:\,磁盘下有很多文件夹,放置不同虚拟主机用户的目录。
aa.com的目录名为aa。bb.com的目录名为bb
这时,如果aa.com的用户上传一个aspx文件。里面的代码是读取E:\bb\web.config文件的话。那么不是
可以轻易读取其它站的文件了?这样是不是很不安全呢?
假设目录在E:\,磁盘下有很多文件夹,放置不同虚拟主机用户的目录。
aa.com的目录名为aa。bb.com的目录名为bb
这时,如果aa.com的用户上传一个aspx文件。里面的代码是读取E:\bb\web.config文件的话。那么不是
可以轻易读取其它站的文件了?这样是不是很不安全呢?
...全文
请发表友善的回复…
发表回复
bitsbird 2006-06-04
- 打赏
- 举报
楼上的代码我实验过了,是能运行,但是必须要有everyone的权限
wuyi8808 2006-05-02
- 打赏
- 举报
楼上的,前置不用编译我们还要编译器干什么?直接记事本不就搞定了,楼主说的是潜在威胁的脚本代码
---------------------------------------------------------------
安全隐患是有,但不是这方面的,上传的文件服务端的需要编译,否则即使上传了也没法运行。
---------------------------------------------------------------
asp.net 在需要时会自动编译所需的代码的。
---------------------------------------------------------------
安全隐患是有,但不是这方面的,上传的文件服务端的需要编译,否则即使上传了也没法运行。
---------------------------------------------------------------
asp.net 在需要时会自动编译所需的代码的。
wuyi8808 2006-05-02
- 打赏
- 举报
确实危险. 把以下内容保存为 test.aspx, 然后上传到你的网站空间, 试试 http://yourweb/test.asp
<%@Page Language="c#" %>
<script Language="c#" runat="server">
public void Page_Load()
{
if (!(Page.IsPostBack))
{
try
{
using (System.IO.StreamReader sr = new System.IO.StreamReader(@"C:\WINDOWS\system32\drivers\etc\hosts"))
{
textBox1.Text = sr.ReadToEnd();
}
}
catch (Exception e)
{
textBox1.Text = e.Message;
}
}
}
</script>
<html>
<body>
<form runat="server">
<asp:TextBox id="textBox1"
Rows="22"
Columns="80"
TextMode="MultiLine"
Wrap="False"
runat="server" />
</form>
</body>
</html>
<%@Page Language="c#" %>
<script Language="c#" runat="server">
public void Page_Load()
{
if (!(Page.IsPostBack))
{
try
{
using (System.IO.StreamReader sr = new System.IO.StreamReader(@"C:\WINDOWS\system32\drivers\etc\hosts"))
{
textBox1.Text = sr.ReadToEnd();
}
}
catch (Exception e)
{
textBox1.Text = e.Message;
}
}
}
</script>
<html>
<body>
<form runat="server">
<asp:TextBox id="textBox1"
Rows="22"
Columns="80"
TextMode="MultiLine"
Wrap="False"
runat="server" />
</form>
</body>
</html>
lx1986 2006-04-30
- 打赏
- 举报
听起来很危险呀!!!
moguiziziwenlong 2006-04-29
- 打赏
- 举报
学习
xinyangt 2006-04-29
- 打赏
- 举报
一般人不会知道你其他站点的物理地址嘛
bitsbird 2006-04-29
- 打赏
- 举报
http://www.xfocus.net/articles/200509/822.html
bitsbird 2006-04-29
- 打赏
- 举报
http://www.yesky.com/51/1905551.shtml
菩提树下的杨过 2006-04-27
- 打赏
- 举报
NSFS权限设置,再加上ASP.NET的验证方式就可以了,ASP利用NTFS+IIS_User权限设置就可以做得很好,ASP.NET应该不成问题
cnhgj 2006-04-27
- 打赏
- 举报
to:winner2050(winner)
没错啊,讨论的就是服务器上的AspNet用户权限的安全设置问题。只要有user组的读取权限,那么AspNet即可读取出某个目录下的某个文件代码。
没错啊,讨论的就是服务器上的AspNet用户权限的安全设置问题。只要有user组的读取权限,那么AspNet即可读取出某个目录下的某个文件代码。
zcxc 2006-04-25
- 打赏
- 举报
gz
zeusvenus 2006-04-25
- 打赏
- 举报
上传一个aspx文件。里面的代码是读取E:\bb\web.config文件的话
---------------------------------------------------------------
安全隐患是有,但不是这方面的,上传的文件服务端的需要编译,否则即使上传了也没法运行。
---------------------------------------------------------------
安全隐患是有,但不是这方面的,上传的文件服务端的需要编译,否则即使上传了也没法运行。
winner2050 2006-04-25
- 打赏
- 举报
你们啊!不是连这么基础的都用吵吧!
以前老在ASP.NET去混,现在跑到这个地方玩玩,居然发现这个问题。
这个问题完全是服务器设置问题。设置得好的服务器,你的程序根本不能控制到网站目录外面。
你放一个ASP木马到A站(e:\a.com),那么这个木马不能访问到(e:\a.com)以外的文件夹
现在我就有这个困恼了在以前的公司被我偷偷用来挂电驴,然后在家里享受HTTP下载。
后来我走了以后就删除了我远程管理的密码,现在我打算用上传ASP木马的方式上去删除掉以前在服务器里的东西都不行。连看看都不给。
原则上购买一个虚拟主机以后人家就给你网站下面指定一个用户名(windowns的用户名)
我们电脑里面的一般是system,admin....,ervyone这些。
前面几个老提起“虚拟目录”,不用虚拟目录作网站的。不要用XP啦,用XP贯了老想到虚拟目录
以前老在ASP.NET去混,现在跑到这个地方玩玩,居然发现这个问题。
这个问题完全是服务器设置问题。设置得好的服务器,你的程序根本不能控制到网站目录外面。
你放一个ASP木马到A站(e:\a.com),那么这个木马不能访问到(e:\a.com)以外的文件夹
现在我就有这个困恼了在以前的公司被我偷偷用来挂电驴,然后在家里享受HTTP下载。
后来我走了以后就删除了我远程管理的密码,现在我打算用上传ASP木马的方式上去删除掉以前在服务器里的东西都不行。连看看都不给。
原则上购买一个虚拟主机以后人家就给你网站下面指定一个用户名(windowns的用户名)
我们电脑里面的一般是system,admin....,ervyone这些。
前面几个老提起“虚拟目录”,不用虚拟目录作网站的。不要用XP啦,用XP贯了老想到虚拟目录
runnercn 2006-04-25
- 打赏
- 举报
恩,的确很多星星,我也瞅个热闹
bitsbird 2006-04-19
- 打赏
- 举报
楼上的,前置不用编译我们还要编译器干什么?直接记事本不就搞定了,楼主说的是潜在威胁的脚本代码
goody9807 2006-04-17
- 打赏
- 举报
没有编译的aspx,就算代码写在前台,也是无法执行的
_______________________
代码前置是不用编译的!
_______________________
代码前置是不用编译的!
califord 2006-04-17
- 打赏
- 举报
没试过,而现在没有这环境,不在自己的电脑前呀
cnhgj 2006-04-17
- 打赏
- 举报
大家都没意识到还是这个问题不是问题?
haozi8123 2006-04-15
- 打赏
- 举报
星星开会吗?):
dragonfly001 2006-04-14
- 打赏
- 举报
頂.........
加载更多回复(11)
