asp漏洞源碼

❶ 常見asp網站漏洞有哪些

主要是對資料庫sql
比如：（網頁有user_name輸入框）
sql = "select * from userTable where userName = '" & request.form("user_name") & "'"
攻擊的時候別人可以在user_name的text控制項中輸入abc and '1=1，那麼後台就變成：
sql = "select * from userTable where userName = 'abc and '1=1'"

❷ windows2003 IIS 6.0 asp 漏洞

不登陸你怎麼控制伺服器呢？
上傳後無法登錄是因為伺服器許可權的原因，這需要你利用一個更加瘋狂的大馬來先對伺服器降權，否則不登陸的話就無法發揮大馬作用了。
或者你利用萬能賬號密碼來試著登錄也可以（這個方法需要你對ASP代碼很了解，操作過程不難,說白了就是利用「另存為」方法從本地機登錄伺服器）。
還有一個辦法，有一個文件加後綴asp直接自動執行（類似特洛伊），無需登錄，但是很難過殺毒軟體這關。這個文件源代碼曾被公開（我這里也有）。
漏洞畢竟是漏洞，尋找簡單，控制不容易。建議從安全防禦的角度來逆向探索這個問題更好。
僅供參考！

❸ 我想找一個有比較多漏洞的網站的源碼，比如可以asp，php注入等都可以。供學習研究用。請提供下載地址。。

看php100的視頻教程。
看兄弟連的視頻教程。
不只要學php，還要學 html css js mysql
學一年。

❹ 伺服器被入侵，網站根目錄被注入.ASP、.TXT文件，如何找到漏洞

首先建議你使用360主機衛士、安全狗對伺服器進行掃描排查。
1.應當採用的處理方式
(1)、建立被入侵系統當前完整系統快照，或只保存被修改部分的快照，以便事後分析和留作證據。
(2)、立即通過備份恢復被修改的網頁。
(3)、在Windows系統下，通過網路監控軟體或"netstat -an"命令來查看系統目前的網路連接情況，如果發現不正常的網路連接，應當立即斷開與它的連接。然後通過查看系統進程、服務和分析系統和服務的日誌文件，來檢查系統攻擊者在系統中還做了什麼樣的操作，以便做相應的恢復。
(4)、通過分析系統日誌文件，或者通過弱點檢測工具來了解攻擊者入侵系統所利用的漏洞。如果攻擊者是利用系統或網路應用程序的漏洞來入侵系統的，那麼，就應當尋找相應的系統或應用程序漏洞補丁來修補它，如果目前還沒有這些漏洞的相關補丁，我們就應當使用其它的手段來暫時防範再次利用這些漏洞的入侵活動。如果攻擊者是利用其它方式，例如社會工程方式入侵系統的，而檢查系統中不存在新的漏洞，那麼就可以不必做這一個步驟，而必需對社會工程攻擊實施的對象進行了解和培訓。
(5)、修復系統或應用程序漏洞後，還應當添加相應的防火牆規則來防止此類事件的再次發生，如果安裝有IDS/IPS和殺毒軟體，還應當升級它們的特徵庫。
(6)、最後，使用系統或相應的應用程序檢測軟體對系統或服務進行一次徹底的弱點檢測，在檢測之前要確保其檢測特徵庫是最新的。所有工作完成後，還應當在後續的一段時間內，安排專人對此系統進行實時監控，以確信系統已經不會再次被此類入侵事件攻擊。
如果攻擊者攻擊系統是為了控制系統成為肉雞，那麼，他們為了能夠長期控制系統，就會在系統中安裝相應的後門程序。同時，為了防止被系統用戶或管理員發現，攻擊者就會千方百計地隱藏他在系統中的操作痕跡，以及隱藏他所安裝的後門。
因而，我們只能通過查看系統進程、網路連接狀況和埠使用情況來了解系統是否已經被攻擊者控制，如果確定系統已經成為了攻擊者的肉雞，那麼就應當按下列方式來進行入侵恢復：
(1)、立即分析系統被入侵的具體時間，目前造成的影響范圍和嚴重程度，然後將被入侵系統建立一個快照，保存當前受損狀況，以更事後分析和留作證據。
(2)、使用網路連接監控軟體或埠監視軟體檢測系統當前已經建立的網路連接和埠使用情況，如果發現存在非法的網路連接，就立即將它們全部斷開，並在防火牆中添加對此IP或埠的禁用規則。
(3)、通過Windows任務管理器，來檢查是否有非法的進程或服務在運行，並且立即結束找到的所有非法進程。但是，一些通過特殊處理的後門進程是不會出現在 Windows任務管理器中，此時，我們就可以通過使用Icesword這樣的工具軟體來找到這些隱藏的進程、服務和載入的內核模塊，然後將它們全部結束任務。
可是，有時我們並不能通過這些方式終止某些後門程序的進程，那麼，我們就只能暫停業務，轉到安全模式下進行操作。如果在安全模式下還不能結束掉這些後門進程的運行，就只能對業務數據做備份後，恢復系統到某個安全的時間段，再恢復業務數據。
這樣，就會造成業務中斷事件，因此，在處理時速度應當盡量快，以減少由於業務中斷造成的影響和損失。有時，我們還應當檢測系統服務中是否存在非法注冊的後門服務，這可以通過打開"控制面板"-"管理工具"中的"服務"來檢查，將找到的非法服務全部禁用。
(4)、在尋找後門進程和服務時，應當將找到的進程和服務名稱全部記錄下來，然後在系統注冊表和系統分區中搜索這些文件，將找到的與此後門相關的所有數據全部刪除。還應將"開始菜單"-"所有程序"-"啟動"菜單項中的內容全部刪除。
(5)、分析系統日誌，了解攻擊者是通過什麼途徑入侵系統的，以及他在系統中做了什麼樣的操作。然後將攻擊者在系統中所做的所有修改全部更正過來，如果他是利用系統或應用程序漏洞入侵系統的，就應當找到相應的漏洞補丁來修復這個漏洞。
如果目前沒有這個漏洞的相關補丁，就應當使用其它安全手段，例如通過防火牆來阻止某些IP地址的網路連接的方式，來暫時防範通過這些漏洞的入侵攻擊，並且要不斷關注這個漏洞的最新狀態，出現相關修復補丁後就應當立即修改。給系統和應用程序打補丁，我們可以通過相應的軟體來自動化進行。
(6)、在完成系統修復工作後，還應當使用弱點檢測工具來對系統和應用程序進行一次全面的弱點檢測，以確保沒有已經的系統或應用程序弱點出現。我們還應用使用手動的方式檢查系統中是否添加了新的用戶帳戶，以及被攻擊做修改了相應的安裝設置，例如修改了防火牆過濾規則，IDS/IPS的檢測靈敏度，啟用被攻擊者禁用了的服務和安全軟體。
2.進一步保證入侵恢復的成果
(1)、修改系統管理員或其它用戶帳戶的名稱和登錄密碼;
(2)、修改資料庫或其它應用程序的管理員和用戶賬戶名稱和登錄密碼;
(3)、檢查防火牆規則;
(4)、如果系統中安裝有殺毒軟體和IDS/IPS，分別更新它們的病毒庫和攻擊特徵庫;
(5)、重新設置用戶許可權;
(6)、重新設置文件的訪問控制規則;
(7)、重新設置資料庫的訪問控制規則;
(8)、修改系統中與網路操作相關的所有帳戶的名稱和登錄密碼等。
當我們完成上述所示的所有系統恢復和修補任務後，我們就可以對系統和服務進行一次完全備份，並且將新的完全備份與舊的完全備份分開保存。
在這里要注意的是：對於以控制系統為目的的入侵活動，攻擊者會想方設法來隱藏自己不被用戶發現。他們除了通過修改或刪除系統和防火牆等產生的與他操作相關的日誌文件外，高明的黑客還會通過一些軟體來修改其所創建、修改文件的基本屬性信息，這些基本屬性包括文件的最後訪問時間，修改時間等，以防止用戶通過查看文件屬性來了解系統已經被入侵。因此，在檢測系統文件是否被修改時，應當使用RootKit Revealer等軟體來進行文件完整性檢測。二、 以得到或損壞系統中機密數據為目的的系統入侵恢復
現在，企業IT資源中什麼最值錢，當然是存在於這些設備當中的各種機密數據了。目前，大部分攻擊者都是以獲取企業中機密數據為目的而進行的相應系統入侵活動，以便能夠通過出售這些盜取的機密數據來獲取非法利益。
如果企業的機密數據是以文件的方式直接保存在系統中某個分區的文件夾當中，而且這些文件夾又沒有通過加密或其它安全手段進行保護，那麼，攻擊者入侵系統後，就可以輕松地得到這些機密數據。但是，目前中小企業中有相當一部分的企業還在使用這種沒有安全防範的文件保存方式，這樣就給攻擊者提供大在的方便。
不過，目前還是有絕大部分的中小企業都是將數據保存到了專門的存儲設備上，而且，這些用來專門保存機密數據的存儲設備，一般還使用硬體防火牆來進行進一步的安全防範。因此，當攻擊者入侵系統後，如果想得到這些存儲設備中的機密數據，就必需對這些設備做進一步的入侵攻擊，或者利用網路嗅探器來得到在內部區域網中傳輸的機密數據。
機密數據對於一些中小企業來說，可以說是一種生命，例如客戶檔案，生產計劃，新產品研究檔案，新產品圖庫，這些數據要是泄漏給了競爭對象，那麼，就有可能造成被入侵企業的破產。對於搶救以得到、破壞系統中機密數據為目的的系統入侵活動，要想最大限度地降低入侵帶來的數據損失，最好的方法就是在資料庫還沒有被攻破之前就阻止入侵事件的進一步發展。
試想像一下，如果當我們發現系統已經被入侵之時，所有的機密數據已經完全泄漏或刪除，那麼，就算我們通過備份恢復了這些被刪除的數據，但是，由於機密數據泄漏造成的損失依然沒有減少。因此，我們必需及時發現這種方式的系統入侵事件，只有在攻擊者還沒有得到或刪除機密數據之前，我們的恢復工作才顯得有意義。
當然，無論有沒能損失機密數據，系統被入侵後，恢復工作還是要做的。對於以得到或破壞機密數據為目的的系統入侵活動，我們仍然可以按此種入侵活動進行到了哪個階段，再將此種類型的入侵活動細分為還沒有得到或破壞機密數據的入侵活動和已經得到或破壞了機密數據的入侵活動主兩種類型。
1、恢復還沒有得到或破壞機密數據的被入侵系統
假設我們發現系統已經被入侵，並且通過分析系統日誌，或者通過直接觀察攻擊者對資料庫進行的後續入侵活動，已經了解到機密數據還沒有被攻擊者竊取，只是進入了系統而已，那麼，我們就可以按下列方式來應對這樣的入侵活動：如果企業規定在處理這樣的系統入侵事件時，不允許系統停機，那麼就應當按這種方式來處理：
(1)、立即找到與攻擊源的網路連接並斷開，然後通過添加防火牆規則來阻止。通常，當我們一開始就立即斷開與攻擊源的網路連接，攻擊者就會立即察覺到，並由此迅速消失，以防止自己被反向追蹤。因而，如果我們想抓到攻擊者，讓他受到法律的懲罰，在知道目前攻擊者進行的入侵攻擊不會對資料庫中的機密數據造成影響的前提下，我們就可以先對系統當前狀態做一個快照，用來做事後分析和證據，然後使用IP追捕軟體來反向追蹤攻擊者，找到後再斷開與他的網路連接。
不過，我們要注意的是，進行反向追蹤會對正常的系統業務造成一定的影響，同時，如果被黑客發現，他們有時會做最後一搏，會破壞系統後逃避，因而在追捕的同時要注意安全防範。只是，大部分的企業都是以盡快恢復系統正常運行，減少入侵損失為主要目的，因此，立即斷開與攻擊源的網路連接是最好的處理方式。
(2)、對被入侵系統的當前狀態建立快照，以便事後分析和留作證據。
(3)、通過分析日誌文件和弱點檢測工具找到攻擊者入侵系統的漏洞，然後了解這些系統漏洞是如何得到的。如果漏洞是攻擊者自己分析得到的，那麼就可能還沒有相應的漏洞修復補丁，因而必需通過其它手段來暫時防範再次利用此漏洞入侵系統事件的發生;如果漏洞是攻擊者通過互聯網得到的，而且漏洞已經出現了相當一段時間，那麼就可能存在相應的漏洞修復補丁，此時，就可以到系統供應商建立的服務網站下載這些漏洞補丁修復系統;如果攻擊者是通過社會工程方式得到的漏洞，我們就應當對當事人和所有員工進行培訓，以減少被再次利用的機率。
(4)、修改資料庫管理員帳號名稱和登錄密碼，重新為操作數據的用戶建立新的帳戶和密碼，並且修改資料庫的訪問規則。至於剩下的系統恢復工作，可以按恢復以控制系統為目的的系統入侵恢復方式來進行。
2、恢復已經得到或刪除了機密數據的被入侵系統
如果當我們發現系統已經被入侵時，攻擊者已經得到或刪除了系統中全部或部分的機密數據，那麼，現在要做的不是試圖搶救已經損失了的數據，而是保護沒有影響到的數據。由於此類系統入侵事件已經屬於特別嚴重的入侵事件，我們的第一個動作，就是盡快斷開與攻擊源的網路連接。
如果允許系統停機處理這類嚴重系統入侵事件，那麼就可以直接拔掉網線的方式斷開被入侵系統與網路的直接連接。當系統仍然不允許停機處理時，就應當通過網路連接監控軟體來找到系統與攻擊源的網路連接，然後斷開，並在防火牆中添加相應的規則來攔截與攻擊源的網路連接。這樣做的目的，就是防止此次系統入侵事件進一步的惡化，保護其它沒有影響到的數據。
斷開與攻擊源的連接後，我們就應當立即分析數據損失的范圍和嚴重程度，了解哪些數據還沒有被影響到，然後立即將這些沒有影響到的數據進行備份或隔離保護。對於丟失了數據的系統入侵事件，我們還可以將它歸納成以下的三個類別：
(1)、數據被竊取。
當我們檢測資料庫時發現數據並沒有被刪除或修改，但是通過分析系統日誌和防火牆日誌，了解攻擊者已經進入了資料庫，打開了某些資料庫表，或者已經復制了這些資料庫表，那麼就可以確定攻擊者只是竊取了數據而沒有進行其它活動。此時，應當按前面介紹過的方法先恢復系統到正常狀態，然修補系統和資料庫應用程序的漏洞，並對它們進行弱點檢測，發現沒有問題後分別做一次完全備份。還應當修改系統管事員和資料庫管理員帳戶的名稱和登錄密碼，所有的操作與前面提到過的方式相同。只是多出了資料庫的恢復工作。
(2)、數據被修改
如果我們在分析資料庫受損情況時發現攻擊者並沒有打開資料庫表，而是通過資料庫命令增加、修改了資料庫某個表中的相關內容。那麼，我們不得不一一找出這些非授權的數據表相關行，然後將它們全部修正或刪除。如果修改的內容有關某個行業，例如辦理駕駛證的政府機關，辦理畢業證的教育機構，或者辦理其它各種執照相關單位等，那麼，還要將攻擊者修改的內容向外界公布，說明這些被攻擊者修改或添加的內容是無效的，以免造成不必要的社會影響。其它的系統和資料庫恢復處理方式與數據被竊取方式相同。
(3)、數據被刪除
如果我們在分析資料庫受損情況時，發現攻擊者不僅得到了機密數據，而且將系統中的相應資料庫表完全刪除了，那麼，我們在斷開與其網路連接時，要立即著手恢復這些被刪除了的數據。
當我們通過備份的方式來恢復被刪除的數據時，在恢復之前，一定要確定系統被入侵的具體時間，這樣才知道什麼時候的備份是可以使用的。這是因為，如果我們對資料庫設置了每日的增量備份，當攻擊者刪除其中的內容時，非法修改後的資料庫同樣被備份了，因此，在入侵後的增量備份都不可用。同樣，如果在系統被入侵期間，還對資料庫進行了完全備份，那麼，這些完全備份也不可用。
如果允許我們停機進行處理，我們可以拆下系統上的硬碟，接入其它系統，然後通過文件恢復軟體來恢復這些被刪除的文件，但是，對於資料庫表中內容的刪除，我們只能通過留下的紙質文檔，來自己慢慢修正。
在這里我們就可以知道，備份並不能解決所有的系統入侵問題，但仍然是最快、最有效恢復系統正常的方式之一。通過這我們還可以知道，及時發現系統已經被入侵對於搶救系統中的機密數據是多麼的重要。三、 以破壞系統或業務正常運行為目的的系統入侵恢復
當攻擊者入侵系統的目的，就是為了讓系統或系統中的正常業務不能正常運行，如果我們發現不及時，當這類系統入侵事件攻擊成功後，就會造成系統意外停機事件和業務意外中斷事件。
處理這類系統入侵事件時，已經沒有必需再考慮系統需不需要停機處理的問題了，既然系統都已經不能正常運行了，考慮這些都是多餘的，最緊要的就是盡快恢復系統正常運行。對於這類事件，也有下列這幾種類別，每種類別的處理方式也是有一點區別的：
1、系統運行正常，但業務已經中斷
對於此類系統入侵事件，我們可以不停機進行處理，直接以系統在線方式通過備份來恢復業務的正常運行，但在恢復前要確定系統被入侵的具體時間，以及什麼時候的備份可以使用，然後按本文前面介紹的相關系統入侵恢復方式來恢復系統和業務到正常狀態。
對於沒有冗餘系統的企業，如果當時非常迫切需要系統業務能夠正常運行，那麼，也只有在通過備份恢復業務正常運行後直接使用它。但在沒有修復系統或應用程序漏洞之前，必需安排專人實時監控系統的運行狀況，包括網路連接狀況，系統進程狀況，通過提高IDS/IPS的檢測力度，添加相應的防火牆檢測規則來暫時保護系統安全。
2、系統不能正常運行，但系統中與業務相關的內容沒有受到破壞
此時，我們首要的任務就是盡快讓系統恢復正常運行，但是要保證系統中與業務相關的數據不能受到損害。如果與業務相關的重要數據不在系統分區，那麼，將系統從網路中斷開後，我們就可以通過另外保存的系統完全備份來迅速恢復系統到正常狀態，這是最快速的解決方法。
但是，如果與業務相關的數據全部或部分存放在系統分區，那麼，為了防止當前業務數據的完整性，我們應當先通過像WinPE光碟系統的方式啟動Winpe系統，然後將與業務相關的重要數據全部備份到其它獨立的存儲設備中，再對系統分區進行備份恢復操作。
如果我們發現系統的完全備份不可用，我們就只能在保證與業務相關的重要數據不損失的情況下，進行全新的操作系統安裝方式來恢復系統正常運行，然後再安裝業務應用程序，來恢復整個系統業務的正常運行。但是，由於這種方式是重新全新安裝的操作系統，因此，如沒有特殊的要求，應當對系統和應用程序做好相應的安全防範措施並完全備份後，才將系統連入網路當中。
至於剩下的系統恢復工作，可以按恢復以控制系統為目的的系統入侵恢復方式來進行。
3、系統不能正常運行，系統中的業務也已經被破壞
此時，首先按第二種方式恢復系統正常運行，然後再在系統中重新安裝與業務相關應用程序，並且盡量通過備份恢復與業務相關的數據。至於剩下的系統恢復工作，可以按恢復以控制系統為目的的系統入侵恢復方式來進行。
當系統或業務被破壞不能運行後，造成的影響和損失是肯定的，我們按上述方式這樣做的目的，就是為了盡量加快系統和業務恢復正常運行的速度，減少它們停止運行的時間，盡量降低由於系統停機或業務中斷造成的影響和損失。
在對入侵系統進行恢復處理的過程中，對於一些與企業經營生死相依的特殊業務，例如電子郵件伺服器，由於郵件伺服器是為員工和客戶提供郵件伺服器的，如果郵件伺服器停用，勢必會影響的業務的正常往來。因此，對郵件伺服器進行入侵恢復前，在使用本文前面所描述的方法進行進，還應當完成下列的工作：
(1)、啟用臨時郵箱，如果受影響的郵件伺服器是企業自身的，可以通過申請郵件伺服器提供商如Sina、163等的郵箱作為代替。
(2)、然後將臨時郵箱信息盡快通知供貨商和合作夥伴。
(3)、完成這些的工作後，就可以對被入侵的郵件伺服器系統作相應的入侵恢復處理，恢復的方式與本文前面描述的方式相同。
四、 事後分析
當成功完成任何一種系統入侵類型的處理工作後，我們還必需完成與此相關的另外一件重要的事情，那就是對系統入侵事件及事件處理過程進行事後分析。
事後分析都是建立在大量的文檔資料的基礎上的，因而，我們在對被入侵系統進行處理的過程中，應當將事件處理過程中的所有操作內容和方式全部細致地記錄下來。另外，我在描述如何恢復被入侵系統的處理過程中，在每次進行入侵恢復前都要求將受損系統的當前狀態建立快照，其目的之一也是為了事後可以通過它來進行入侵分析。
我們通過對被入侵系統進行入侵分析，就能了解到此次入侵事件影響的范圍和損失的嚴重程度，以及處理它所花費的時間、人力和物力成本。另一方面，通過分析此次入侵事件，可以了解攻擊者是通過什麼方式入侵系統的。
通過了解攻擊者入侵系統的各種方式，就可以從中學習到相應的防範對策，為我們的安全防範工作帶來相應的寶貴經驗，讓我們以後知道如何去應對與此相似的系統入侵活動。並由此來修改安全策略中不規范的內容，或添加相應的安全策略，使安全策略適應各個時期的安全防範需求。
同樣，對每次系統入侵事件的處理過程進行分析，可以讓我們了解自己或事件處理團隊在應對系統入侵事件時的操作是否正確，是否產生了不必要的操作，是否產生了人為的失誤，這些失誤是如何產生的，以及哪些操作提高了處理的效率等等有用的信息。通過對系統入侵恢復處理過程的事後分析，能讓我們增加相應的事件入侵響應能力，而且，還可以找出事件響應計劃中不規范的內容，並由此做相應的修正。
對系統入侵事件和其恢復處理過程進行事後分析得出的結論，都應當全部以書面形式記錄下來，並上報給上級領導。同時，還應當將處理結果發到每個事件響應小組成員手中，或企業中各個部門領導手中，由各部門分別組織學習，以防止此類系統入侵事件再次發生。如果有必要，還可以將事件發生和處理情況通告給合作夥伴和客戶，以幫助它們防範此類系統入侵事件的發生，或告知系統或應用軟體提供商，讓他們盡快產生相應的漏洞補丁。

❺ 關於ASP網站XSS漏洞,請幫忙過濾一下，謝謝

FunctionCheckxss(byValChkStr)

DimStr
Str=ChkStr
IfIsNull(Str)Then
CheckStr=""
ExitFunction
EndIf

Str=Replace(Str,"&","&")
Str=Replace(Str,"'","´")
Str=Replace(Str,"""",""")
Str=Replace(Str,"<","<")
Str=Replace(Str,">",">")
Str=Replace(Str,"/","/")
Str=Replace(Str,"*","*")

Dimre
Setre=NewRegExp
re.IgnoreCase=True
re.Global=True
re.Pattern="(w)(here)"
Str=re.Replace(Str,"$1here")
re.Pattern="(s)(elect)"
Str=re.Replace(Str,"$1elect")
re.Pattern="(i)(nsert)"
Str=re.Replace(Str,"$1nsert")
re.Pattern="(c)(reate)"
Str=re.Replace(Str,"$1reate")
re.Pattern="(d)(rop)"
Str=re.Replace(Str,"$1rop")
re.Pattern="(a)(lter)"
Str=re.Replace(Str,"$1lter")
re.Pattern="(d)(elete)"
Str=re.Replace(Str,"$1elete")
re.Pattern="(u)(pdate)"
Str=re.Replace(Str,"$1pdate")
re.Pattern="(s)(or)"
Str=re.Replace(Str,"$1or")
re.Pattern="(
)"
Str=re.Replace(Str,"$1or")
'----------------------------------
re.Pattern="(java)(script)"
Str=re.Replace(Str,"$1script")
re.Pattern="(j)(script)"
Str=re.Replace(Str,"$1script")
re.Pattern="(vb)(script)"
Str=re.Replace(Str,"$1script")
'----------------------------------
IfInstr(Str,"expression")>0Then
Str=Replace(Str,"expression","e­xpression",1,-1,0)'防止xss注入
EndIf
Setre=Nothing
Checkxss=Str

EndFunction

使用方法：Checkxss(request.QueryString("變數"))，或者Checkxss(request.form("表單名"))

❻ 關於ASP漏洞的措施..

以上是海洋中的相關代碼，從上面的代碼我們不難看出一般ASP木馬、Webshell主要利用了以下幾類ASP組件：

① WScript.Shell (classid:72C24DD5-D70A-438B-8A42-98424B88AFB8)

② WScript.Shell.1 (classid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B)

③ WScript.Network (classid:093FF999-1EA0-4079-9525-9614C3504B74)

④ WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)

⑤ FileSystem Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)

⑥ Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})

⑦ Shell.applicaiton....

hehe，這下我們清楚了危害我們WEB SERVER IIS的最罪魁禍首是誰了!!開始操刀,come on...

2:解決辦法：

① 刪除或更名以下危險的ASP組件：

WScript.Shell、WScript.Shell.1、Wscript.Network、Wscript.Network.1、adodb.stream、Shell.application

開始-------＞運行---------＞Regedit，打開注冊表編輯器，按Ctrl+F查找，依次輸入以上Wscript.Shell等組件名稱以及相應的ClassID，然後進行刪除或者更改名稱(這里建議大家更名，如果有部分網頁ASP程序利用了上面的組件的話呢，只需在將寫ASP代碼的時候用我們更改後的組件名稱即可正常使用。當然如果你確信你的ASP程序中沒有用到以上組件，還是直

接刪除心中踏實一些^_^,按常規一般來說是不會做到以上這些組件的。刪除或更名後，iisreset重啟IIS後即可升效。)

[注意：由於Adodb.Stream這個組件有很多網頁中將用到，所以如果你的伺服器是開虛擬主機的話，建議酢情處理。]

② 關於 File System Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)即常說的FSO的安全問題，如果您的伺服器必需要用到FSO的話，(部分虛擬主機伺服器一般需開FSO功能)可以參照本人的另一篇關於FSO安全解決辦法的文章:Microsoft Windows 2000 Server FSO 安全隱患解決辦法。如果您確信不要用到的話，可以直接反注冊此組件即可。

③ 直接反注冊、卸載這些危險組件的方法：(實用於不想用①及②類此類煩瑣的方法)

卸載wscript.shell對象，在cmd下或直接運行：regsvr32 /u %windir%\system32\WSHom.Ocx

卸載FSO對象,在cmd下或直接運行：regsvr32.exe /u %windir%\system32\scrrun.dll

卸載stream對象,在cmd下或直接運行： regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll"

如果想恢復的話只需要去掉 /U 即可重新再注冊以上相關ASP組件例如：regsvr32.exe %windir%\system32\scrrun.dll

④ 關於Webshell中利用set domainObject = GetObject("WinNT://.")來獲取伺服器的進程、服務以及用戶等信息的防範，大家可以將服務中的Workstation[提供網路鏈結和通訊]即Lanmanworkstation服務停止並禁用即可。此處理後，Webshell顯示進程處將為空白。

3 按照上1、2方法對ASP類危險組件進行處理後，用阿江的asp探針測試了一下,"伺服器CPU詳情"和"伺服器操作系統"根本查不到,內容為空白的。再用海洋測試Wsript.Shell來運行cmd命令也是提示Active無法創建對像。大家就都可以再也不要為ASP木馬危害到伺服器系統的安全而擔擾了。

❼ 什麼是ASP漏洞啊

ASP就是Active Server Page的縮寫。它是一種包含了使用VB Script或Jscript腳本程序代碼的網頁。當瀏覽器瀏覽ASP網頁時, Web伺服器就會根據請求生成相應的HTML代碼然後再返回給瀏覽器,這樣瀏覽器端看到的 就是動態生成的網頁。ASP是微軟公司開發的代替CGI腳本程序的一種應用,它可以與資料庫和其它程序進行交互。是一種簡單、方便的編程工具。在了解了VBSCRIPT的基本語法後，只需要清楚各個組件的用途、屬性、方法，就可以輕松編寫出自己的ASP系統。ASP的網頁文件的格式是.ASP。
無論你相不相信，通過 asp，可能可以很方便地入侵 web server、竊取伺服器上的文件、捕獲 web 資料庫等系統的用戶口令，甚至惡意刪除伺服器上的的文件，直至造成系統損壞，這些都決非聳人聽聞，而且都確確實實發生過，本文將向你一一揭示這些 asp 存在的漏洞，並提出一些防範意見。

上一篇中給大家著重談了「ADO 存取資料庫時如何分頁顯示」的問題，有位朋友來信給我指出我在計算頁面總數時忽略了 Recordset 對象的一個重要參數「PageCount」，它能在給 Pagesize 賦值後自動得出頁面的總數，而無須用「INT(RS.recordcount/PgSz*-1)*-1」這樣繁瑣的公式。我要感謝這位朋友熱心地給我指出程序中的不足，由於這個程序是我在很久以前寫的，因為在分頁顯示的時候記錄的總數不一定能整除頁面顯示記錄的數目，而當時我又不能肯定 PageCount 是否能正確得出頁面的數目，所以偷懶寫了這個公式：），說實話我到現在還都沒試過用 pagecount，有興趣的朋友千萬要試一下哦，可別學我的懶惰呀。

最近我在 chinaasp 的 bbs 上討論問題時發現很多朋友對於 asp 的一些安全性問題不甚了解，甚至不知道如何解決最常見的 asp::$DATA 顯示源代碼的問題，因此我覺得非常有必要在這里給廣大朋友們重點談一談這個問題，在徵得 chinaasp 飛鳥的同意下，我將他曾經寫過的一點關於 asp 漏洞的介紹加上我自己的一些實踐經驗拿出來給大家詳細分析一下這個對於 webmaster 來說至關重要的 asp 的安全性問題。

當去年 ::$DATA 的漏洞被發現並公布的第二天，我曾經檢測了當時國內大部分運用 asp 的站點，其中百分之九十九都存在以上可以看見源代碼的問題，當日我甚至在微軟的站點上抓下了 search.asp 這個文件的源代碼。可能你會覺得看到源代碼並沒有什麼大礙，如果作為 webmaster 的你這么想就大錯特錯了。譬如，如果 asp 程序員將站點的登陸密碼直接寫在 asp 里，那麼一旦源碼被發現，他人就可以很容易的進入本不該被看到的頁面，我就曾經利用這個方法免費成為了一個收費網站的成員（大家可別揭發我哦！），而且很多資料庫的連接用戶名和密碼也都是直接寫在 asp 里，一旦被發現，如果你的資料庫允許遠程訪問而且沒有設防的話就相當危險了。在一些用 asp 開發的 bbs 程序中，往往使用的是 access mdb 庫，如果 mdb 庫存放的路徑被獲知，資料庫就很有可能被他人下載，加之如果資料庫里含有的密碼不加密，那就非常危險了，獲取密碼的人如果有意進行惡意破壞，他只需要以 admin 身份登陸刪除所有 bbs 里的帖子，就夠你嗆的了。下面列出了目前已經發現的一些漏洞，希望大家提高警惕一、經過實驗我們發現， win95+pws 上運行 ASP 程序，只須簡單地在瀏覽器地址欄的 asp 文件名後多加一個小數點 ASP 程序就會被下載下來。 IIS3 也存在同樣的問題，如果你目前還在使用 IIS3 一定要測試一下。
二、 iis2、 iis3、 iis4 的一個廣為人知的漏洞就是 ::$DATA，通過它使用 ie 的 view source 或 netscape 直接訪問該 asp 文件就能輕而易舉地看到 asp 代碼。 win98+pws4 不存在這個漏洞。

究竟是什麼原因造成了這種可怕的漏洞呢？究其根源其實是 Windows NT 特有的文件系統在做怪。有一點常識的人都知道在 NT 提供了一種完全不同於 FAT 的文件系統： NTFS，這種被稱之為新技術文件系統的技術使得 NT 具有了較高的安全機制，但也正是因為它而產生了不少令人頭痛的隱患。大家可能不知道， NTFS 支持包含在一個文件中的多數據流，而這個包含了所有內容的主數據流被稱之為「DATA」，因此使得在瀏覽器里直接訪問 NTFS 系統的這個特性而輕易的捕獲在文件中的腳本程序成為了可能。然而直接導致 ::$DATA 的原因是由於 IIS 在解析文件名的時候出了問題，它沒有很好地規範文件名。
我們該如何解決這個問題呢？辦法有幾種：

a、是將 .asp 文件存放的目錄設置為不可讀（ASP 仍能執行），這樣 html、 css 等文件就不能放在這個目錄下，否則它們將不能被瀏覽。

b、是安裝微軟提供的補丁程序，下載的地址如下（注意針對不同的系統有不同的補丁）：

該補丁是針對 IIS3， Intel 平台

ftp.microsoft.com/bussys/iis/iis-public/fixes/cht/security/iis3-datafix/iis3fixi.exe

該補丁是針對 IIS3， Intel 平台

ftp.microsoft.com/bussys/iis/iis-public/fixes/cht/security/iis3-datafix/iis3fixa.exe

該補丁是針對 IIS4， Alpha 平台

ftp.microsoft.com/bussys/iis/iis-public/fixes/cht/security/iis4-datafix/iis4fixi.exe

該補丁是針對 IIS4， Alpha 平台

ftp.microsoft.com/bussys/iis/iis-public/fixes/cht/security/iis4-datafix/iis4fixa.exe

c、是在伺服器上安裝 ie4.01sp1，這個是否有效，作者本人沒具體試過。

d、存粹作者的個人意見，盡量安裝英文版的 NT，而不要使用中文版，究其原因作者也說不清，只是根據實踐經驗英文版的 NT 較中文版 bug 少，如果哪位朋友知道原因千萬要告訴我。

三 . 支持 ASP 的免費主頁空間以及虛擬主機服務的伺服器面臨的問題

1、伺服器上的 ASP 代碼很可能被人其他擁有 asp 許可權的人非法獲取。

舉個很簡單的例子，在微軟提供的 ASP1.0 的常式里有一個 .asp 文件專門用來查看其它 .asp 文件的源代碼，該文件為 ASPSamp/Samples/code.asp。如果有人把這個程序上傳的伺服器，而伺服器端沒有任何防範措施的話，他就可以很容易地查看他人的程序。
例如 :

code.asp?source=/directory/file.asp

2、使用的 ACCESS mdb 資料庫可能被人下載一般來說在提供 asp 許可權的免費主頁伺服器上不可能提供代為設定 DSN 的服務，因此 asp 程序使用的資料庫通常都局限在使用 mdb 庫，而 mdb 遠端資料庫所在的位置是使用我們在第十四期中講到過的 DSN-less 方法直接在 asp 中指定的，方法如下 :

< %connstr = "DBQ="+server.mappath("database/source.mdb")+";DefaultDir=;DRIVER={Microsoft Access Driver (*.mdb)};DriverId=25;FIL=MS Access;ImplicitCommitSync=Yes;MaxBufferSize=512;MaxScanRows=8;PageTimeout=5; SafeTransactions=0;Threads=3;UserCommitSync=Yes;"%>
正如前文所言，在這種情況下 mdb 庫很可能被他人下載，從而造成諸如密碼等的泄露。

所以，作為 webmaster 應該採取一定的措施，嚴禁 code.asp 之類的程序（似乎很難辦到 , 但可以定期檢索特徵代碼），限制 mdb 的下載。

3、來自強大的 filesystemobject 組件的威脅

IIS3、 IIS4 的 ASP 的文件操作都可以通過 filesystemobject 實現，包括文本文件的讀寫目錄操作、文件的拷貝改名刪除等，但是這個強大的功能也留下了非常危險的「後門」。利用 filesystemobjet 可以篡改下載 fat 分區上的任何文件。即使是 ntfs 分區，如果許可權沒有設定好的話，同樣也能破壞，一不小心你就可能遭受「滅頂之災」。遺憾的是很多 webmaster 只知道讓 web 伺服器運行起來，很少對 ntfs 進行許可權設置，而 NT 目錄許可權的默認設置偏偏安全性又低得可怕。因此，如果你是 Webmaster，作者強烈建議你密切關注伺服器的設置，盡量將 web 目錄建在 ntfs 分區上，目錄不要設定 everyone full control，即使是是管理員組的成員一般也沒什麼必要 full control，只要有讀取、更改許可權就足夠了。
四、 ASP 應用程序可能面臨的攻擊過去許多 Internet 上 CGI 寫的留言本或 BBS 是把客戶輸入的留言變為一個變數，然後再把這個變數插入到顯示留言的 HTML 文件里，因此客戶輸入的文本如要在 HTML 文件里顯示就得符合 HTML 標准，而 CGI 程序里一般都加入了特定的 HTML 語言。當客戶輸入內容，插入 HTML 文件時，即同時插入到了頭尾 HTML 語句中，如：

< font> 客戶輸入的變數 < /font> 但如果把前後的 HTML 標記給敝屏了，就可以做很多事情了。

如輸入時打上：

< /font> 符合 HTML 標準的語句 < font> 前後的 < font> 是用來敝屏 CGI 中的 HTML 語句用的。插入到 HTML 文件里的就變成了：

< font>< /font> 符合 HTML 標準的語句 < font>< /font> 由於這樣一個特性，使得寫個 javascript 的死循環變得非常容易，只要在輸入框中輸入：

< a href="URL" onMouseover="while(1){window.close('/')}"> 或 < a herf="URL" onMousever="while(ture){window.close('/')}"> 那麼就能讓其他查看該留言的客戶的瀏覽器因死循環而死掉。 ASP 開發的程序同樣可能存在這個問題，因此當你用 asp 編寫類似程序時應該做好對此類操作的防範，譬如可以寫一段程序判斷客戶端的輸入，並屏蔽掉所有的 HTML、 Javascript 語句。

看完本期後，如果你非常的震驚，那麼你必須徹底對你現有的網站或 asp 程序進行一翻檢測，看看是否存在上述漏洞。如果你對文中所談到的漏洞都有所了解並已有足夠的對策，那麼在恭喜你的同時，還是要提醒你經常查看你的網站和 asp 程序，如果你有資料庫也應該經常查看，以防他人利用一些我們未知的漏洞進行攻擊。

❽ 關於ASP漏洞

一般來說1。修補所有的注入漏洞，把Conn文件前面include一個通用防注入腳本，2。把所有的木馬殺掉，包括那個cmd.exe，ASP那樣的webshell用雷克圖殺,3。修改所有的用戶名和密碼

❾ asp網站，360查出來有漏洞：跨站腳本攻擊（XSS），代碼如下，怎麼解決謝謝。

你可以到360論壇發帖或通過郵件把問題發送到郵箱fk@360，會有360工作人員幫您解答的。