引言:
一、ASP.NET虚拟主机存在的重大隐患 我曾经在WWW.BRINKSTER.COM申请了一个免费的ASP.NET空间,上传了两个程序,其中一个查看目录和文件的程序证明我的判断:ASP共享空间服务器存在的一个安全问题,在 ASP+ 共享空间服务器中依然存在并且变得更加难以防范!通过这个程...
摘要:
和其他安全漏洞相比,控制主机群并从其发动拒绝服务是很复杂的。换句话来说,没有什么简单的单一的措施可以防止类似的攻击。而必须采用多种安全和保护手段来防止这样的攻击。对于那些系统目前正受到威胁的网管们,以下我提供的快速简单的方法可能会对你们有所帮助。- mixter 目前或是潜在的包淹没拒绝服务的受害者所应当做的事情: 1)避免fud fud代表恐惧(fear)不确定(uncert......
摘要:
这一技巧对于希望使用 vmware 同时具有令牌环网络的 linux 开发者来说很有用。vmware 可以让开发者运行许多操作系统(例如带有 dbcs 支持的 windows nt),并允许他们测试从该平台开发的任何 web 解决方案。如果能使用 windows 浏览器来测试最新的 web 代码而无需一台单独的 windows 机器,那一定很有帮助。能够联网到更广阔的 lan 可以让他们......
ASP.NET虚拟主机的重大安全隐患
一.asp.net虚拟主机存在的重大隐患 【程序编程相关:
CreationalPattern-Bu】 【推荐阅读:
C#与Java述评】 我曾经在www.brinkster.com申请了一个免费的asp.net空间,上传了两个程序,其中一个查看目录与文件的程序证明我的判断:asp共享空间服务器存在的一个安全问题,在 asp+ 共享空间服务器中依然存在并且变得更加难以防范!通过这个程序我可以浏览所有用户的asp+程序,可以查看服务器的系统日志……,当然,如果我想删除什么的话也不会有什么问题.为了让大家更清楚地了解这一问题,我们有必要简单介绍一下asp中就已经存在的这一问题. 【扩展信息:
作者访谈-与CharlesPetzold】 asp中常用的标准组件:filesystemobject,这个组件为 asp 提供了强大的文件系统访问能力,可以对服务器硬盘上的任何有权限的目录与文件进行读写.删除.改名等操作.fso对象来自微软提供的脚本运行库scrrun.dll中. 使用下面的代码就可以在asp中创建一个fso对象: set fso = createobject("scripting.filesystemobject") 我们使用fso对象包含的属性与方法,如drive.drives.folder.floders.file.files等对服务器的磁盘.目录与文件进行读.写.删除等操作.这一强大的文件系统访问能力给asp共享空间提供者带来了严重的安全问题,很多asp空间的管理员都删除此组件或将这个组件改名以避免用户使用这一标准组件.删除组件或组件改名确实是一个简单的方法并且也很有效,但是却使广大用户无法使用它的强大的功能.网络上还有一种看起来很美的方案,它允许用户使用 filesystemobject 组件又不影响服务器的安全,即对每一个用户都设置一个独立的服务器用户与单个目录的操作权限.但是这种方法是有问题的.因为asp与asp.net中在这方面的问题十分类似,所以我们将在asp.net的相应解决办法部分详加说明. 在asp.net中我们发现这一问题仍然存在,并且变得更加难以解决.这是因为.net中关于系统io操作的功能变得更加强大,而使这一问题更严重的是asp.net所具有的一项新功能,这就组件不需要象asp那样必须要使用regsvr32来注册了,只需将dll类库文件上传到bin目录下就可以直接使用了.这一功能确实给开发asp.net带来了很大的方便,但是却使我们在asp中将此dll删除或者改名的解决方法失去效用了,防范此问题就变得更加复杂.在讨论解决方案之前,我们先来看一下怎么来实现上述的危险的功能. 二.文件系统操作示例 在我们编写代码之前,有必要了解一下我们需要用到的几个主要的类.这几个类都在system.io名称空间下,system.io 名称空间包含允许在数据流与文件上进行同步与异步读写的类. 在整个应用程序的开始部分我们需要了解一下服务器的系统信息,这就需要用到system.environment类,该类提供有关当前环境与平台的信息以及操作它们的方法.我们通过system.environment类可以得到系统的当前目录与系统目录,这可以使我们更快的发现几个关键的目录;我们还可以通过获取运行当前进程的用户名来帮助我们了解asp.net程序运行所使用的用户,进一步设置用户权限以避免这一安全问题. 我们还要使用system.io名称空间的其他几个类是: system.io.directory:提供用于创建.移动与枚举通过目录与子目录的静态方法的类 system.io.file:提供用于创建.复制.删除.移动与打开文件的静态方法的类 system.io.fileinfo:提供创建.复制.删除.移动与打开文件的实例方法的类 system.io.streamreader:实现一个 textreader,使其以一种特定的编码从字节流中读取字符. 每个我们所使用的类的属性与方法的具体用法我们将以代码注释的方式在程序中加以说明. system.io名称空间在 .net framework提供的mscorlib.dll中,在使用vs.net编程之前需要将此dll引用到此项目中. 我们所编写的程序都使用了codebehind方式,即每一个aspx程序都有一个对应的aspx.cs程序,aspx程序中只是写与页面显示相关的代码,所有逻辑实现的代码都放在相应的aspx.cs文件中,这样就可以更好得做到显示与逻辑的分离.由于我们的目的不是讨论codebehind技术,所以就不在对此多加讨论了. 在这篇文章里,我们只介绍几个主要的类及其关键方法的用法,详细程序请查看附带的源代码. 程序一:显示服务器的当前信息与全部逻辑驱动器的名称的程序listdrivers.aspx 主要方法1:我们使用 getsysinf() 方法来得到服务器的当前环境与平台的信息 //获取系统信息的方法,此方法在listdrivers.aspx.cs文件中 public void getsysinf () { //获取操作系统类型 qdrives = environment.osversion.tostring(); //获取系统文件夹 qsystemdir = environment.systemdirectory.tostring(); ...
下一页 摘要:
etude 写到 "www.windriver.com有下载驱动程序快速生成软件,有for win和for linux的,且每个平台都有windriver和kerneldriver两中版本(区别么看名字就知道了) 以下是针对isapnp(有点老的结构)设备怎样在linux下正确安装驱动做个简单说明首先弄到pnptools这套工具(套装linux都有带),先在/etc下建立配置文件(关于p......
