论坛: 菜鸟乐园 标题: ASP源代码泄露漏洞 复制本贴地址    
作者: wuhuan [wuhuan]    论坛用户   登录
受影响的系统:PWS,IIS
不受影响的版本: 未知 
远程: YES / 本地:UnKnown

内容摘要:
在ASP编程中,为了使程序更加简洁,利于调用,在很多情况下,程序员喜欢把一些被调用的ASP语句写如到一个名为conn.inc的文件中,然后再使用HTML中的标记<!--#include file=conn.inc>来调用。但由于该文件不会在服务器端被解释成HTML返回给用户,所以文件内容可以被远程用户下载,将有助于入侵者收集系统资料。有心的黑客只要自己编个程序对该文件进行寻找,很快就可以找到存放该文件的目录,并将其下载。 

漏洞的利用: 
这是我从网上下载的一个ASP制作的BBS,就存在这个问题。 http://soft.xxinfo.ha.cn/mudfrog/bbs/conn.inc
只要您对该文件进行简单的分析,就可以找到保存有用户资料的数据库文件以及其所在的目录。 

解决方案:
1.直接调用ASP,不使用#include标记来调用conn.inc文件
2.对该文件进行改名 


地主 发表时间: 05/18 11:38

回复: davy [davy]   论坛用户   登录


B1层 发表时间: 05/18 17:15

回复: group [group]   论坛用户   登录
??

B2层 发表时间: 05/19 02:41

回复: redkevin [redkevin]   论坛用户   登录
这个问题都出在一些小的信息管理(没有经过调试)的ASP程式上! 

我看江湖或是一些有名的论谈,好像没有,还有长乐未央也有这毛病!

B3层 发表时间: 05/19 03:19

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号