本文目录一览:
教你如何有效预防ASP网站被入侵
预备知识:ASP编程 ASP木马入侵原理 要预防木马的入侵,就要先了解入侵的原理。想通过ASP木马入侵,必须先将木马上传到目标空间,然后直接在客户端浏览器里面运行木马,接着就可以进行文件修改、目录删除等等具有破坏性的工作。 黑客入侵ASP网站一般使用两种方式: 第一种是上传木马后,利用木马以及操作系统漏洞在Windows启动项里添加一个批处理文件,用来添加管理员账号,然后用管理员账号停止防火墙运行和进行文件修改删除等操作。 第二种是上传木马后,直接通过木马删除网站里面的目录和文件。 找准关键对症下药 通过分析可以发现,我们提到的两种入侵方式都是利用ASP网站的上传功能,先上传木马,然后借助木马对文件进行修改删除等操作。简单说来,要做的第一步就是阻止ASP文件的上传;其次,如果被上传了ASP木马,就要杜绝木马的运行。 ASP木马本身就是个ASP文件。所以很关键的一点是限制ASP文件的上传。一般ASP网站本身就有文件上传功能,并且默认是限制了ASP文件的上传,不过黑客能够想方设法上传他们的木马文件。 安全与便捷并行 要防患于未然,一些前期工作必须先做好。首先就是养成及时备份的习惯;其次,如果你的网站采用ACCESS数据库,那么要保证你网站的主数据库不能以MDB为扩展名,将扩展名改成ASP,这样可以防止黑客直接下载到网站数据库并猜解网站管理员密码;第三,网站管理员密码位数推荐超过12位。 限制ASP执行权限 虽然无法通过杀毒软件查杀ASP木马,但可以采取其他方法进行有效防范。就知名的动易网站管理系统或者动网论坛来说,默认是允许注册用户上传文件的。黑客可以利用工具将ASP木马伪装后上传至服务器。 关键就在于他们上传文件所存放的目录是固定的,具体说就是通过网站上传的文件只会出现在我们ASP网站程序所指定的目录下。 如果要完全限制网站注册用户上传文件的权限是不现实的。所以,我们能做的第一步,就是禁止ASP文件在此目录的执行权限。目的就是让上传来的ASP木马无法执行。具体方法如下: 打开IIS,右键点击网站里面供上传的目录,点击属性,我们可以看到属性窗口;将此目录的"执行权限"设置成"无";用同样的方法,再将存放数据库的文件夹以及其余几个可供用户上传文件的文件夹的"执行权限"全都设置成"无"。 服务器上的安全设置 即使限制了上传目录的ASP的执行权限,但也无法保证服务器的绝对安全。所以,服务器上面也要进行一些设置。 服务器操作系统以Windows 2003为例,首先当然是要将磁盘转为NTFS格式。其次,可以将默认的Administrator改名,并设置足够位数的密码(推荐12位以上)。为了欺骗黑客,还可以另外建一个名为Administrator的账号,并设置密码,赋予最低权限。 在Windows 2003操作系统里面设置相应文件夹的权限。由于网站做好后一般一段时间都不会随便对源代码进行修改,所以可以对不需要进行修改的地方设置只读权限,仅开放几个上传的文件夹的可写权限。对系统默认的Everyone的权限进行限制,拒绝Everyone的删除以及修改权限。仅在我们需要对网站进行修改的时候,才暂时将此限制去掉。具体操作过程如下: 对存放网站的文件夹点击右键,点击"共享和安全";在安全选项卡上,可以看到属性窗口;为限制Everyone的权限,点击下面的高级按钮;在弹出的"高级安全设置"对话框中的"权限"选项卡上,点击"添加";在"选择用户或组"底下的框中输入名称"Everyone",再点击"确定"; 在出现的对话框中勾选"创建文件/写入数据"、"创建文件夹/附加数据"、"删除子文件夹及文件"、"删除"、"更改权限"的拒绝权限,并设置将它应用到"该文件夹及文件"。 同样的方法,再对网站里面的各个子文件夹进行设置,拒绝一些网管对不需要修改的文件夹的更改、写入数据等权限。要注意的是,供网站用户上传文件的文件夹,要保留其写入的权限。 由于Windows的用户组权限是拒绝优先,所以设置好后要测试,供上传的文件夹不能限制其写入权限。 我们做好了这些权限的设置之后,可以自己试着对网站的文件或者文件夹进行改名、删除等操作,看看是否会提示拒绝访问或者没有这个权限。
如何通过ASP网页程序,内转接到其他网站(大概相当于在线代理的架设,内详)
在你的办公网的机器上安装上网代理服务,不关机器,然后,用你的宿舍的机器访问办公区的机器,上网
===================================
你要出去,首先就要通过你们办公区的机器才能出去,因此,无论你想利用什么方式的代理,转换访问外网,首先得你能够访问到,所以,这个机器只能是你们校园内这个时段可以上网的机器,也就只能你自己在办公区的机器装一套代理了.
======================================================
你没仔细看2楼里对那个功能的描述,必须是在办公区的机器上想办法,如果可能,你用WINDOWS自带的,不过这需要两个网卡,你可以在办公区的机器上装个虚拟网卡(用做上网的内网,这里提供一个虚拟网卡安装的样例:,仅供参考),然后启动路由和远程访问里的NAT服务,你的机器设置成内网(虚拟网卡)网段地址,那么你可以使用所有的上网服务和功能,包括BT,视频等等.
如何入侵ASP网站得到权限
ASP站比较好入手,具体情况具体操作,提供一些思路。
1、既然是ASP系统那自然就是想办法找注入点,SQL注入猜解管理员密码(当然如果是MSSQL用户类型就考虑用别的,SA权限就直接备份网马拿Webshell了。
2、如果没有很好的注入点那猜解数据库吧,(注意对方是否是整站系统,如果是,可以自己下一套研究下数据库的地址,默认的后台地址,默认管理密码等,也可以自己分析是否存在隐含过滤不严导致的漏洞。)如猜解到数据库,那么自然就是下载下来然后找是否存在管理员密码。
3、不管是否获得管理员密码都要寻找后台地址,同样可以使用工具快速搜索,也可以凭经验试一试admin_login.asp,admin.asp,login.asp,等页面是否存在。
4、使用常用密码对后台进行爆破尝试。如user:admin pass:admin等。这个要凭经验了。
5、以上均无奈何就只能剑走偏锋了,尝试从系统本身是否存在恶性漏洞,如某处对某个ASP文件进行了直接修改无任何过滤,那么就可以尝试插一句话。或者某处参数过滤不严,可以尝试参数暴库。
6、实在是无可奈何又一定想要拿下,尝试着从服务器本身入手(远程溢出),尝试从IIS漏洞入手。
7、旁注吧,既然本身已经固若金汤。
8、愤怒吧,既然攻不下来,也要毁掉对方,抄出变异CC,DDOS对对方系统发动狂轰滥炸以泄愤。
8、如果均不奏效,放弃吧,这目标太。。。
asp在网站中怎么插入视频
IFRAME style="WIDTH: 592px; HEIGHT: 204px" src="包含视频的网页.htm" frameBorder=1 scrolling=yes/IFRAME
在网页插入视频播放器代码
一、插入RealPlayer ActiveX对象(如果要进行测试,需要先安装RealPlayer播放器)
假定以下代码包含在video.php文档中(该文件将在主页面中通过iframe进行链接)。
object width="320" height="250" classid="clsid:CFCDAA03-8BE4-11cf-B84B-0020AFBBCCFA"
param name="CONTROLS" value="ImageWindow"
param name="CONSOLE" value="Video"
param name="CENTER" value="TRUE"
param name="MAINTAINSPECT" value="TRUE"
/object //定义播放界面
object width="320" height="30" classid="clsid:CFCDAA03-8BE4-11cf-B84B-0020AFBBCCFA"
param name="CONTROLS" value="StatusBar"
param name="CONSOLE" value="Video"
/object //定义状态栏
object width="320" height="30" classid="clsid:CFCDAA03-8BE4-11cf-B84B-0020AFBBCCFA"
param name="CONTROLS" value="ControlPanel"param name="CONSOLE" value="Video"
param name="SRC" value="?php echo getsrc(); ?"
param name="AUTOSTART" value="TRUE"
param name="PREFETCH" value="0"
param name="LOOP" value="0"
param name="NUMLOOP" value="0"
/object //定义控制面板
其中,CONTROLS参数用来指定播放器的控件外观,可以用多个控件进行组合,并通过CONSOLE参数进行关联。
有关param参数,读者可以参阅RealPlayer官方网站。
这里的SRC参数尤为重要,用来指定视频流文件的URL地址。这里笔者使用PHP代码的方法动态的指定SRC,读者也可以使用其它如ASP,或完全过 JavaScript 实现。
二、使用DHTML动态控制RealPlayer控件的播放
小技巧:IFRAME的妙用。由于为RealPlayer控件指定新的SRC需要刷新页面,使用IFRAME可以把RealPlayer控件嵌入到单独的页面中,这样,动态刷新就是在IFRAME内进行,不会影响用户观看页面其它内容。
以下代码包含在主页面中:
IFRAME id="iVideo" SRC="video.php" Width=500 Height=345 frameborder=0 SCROLLING="no"
/IFRAME,其中,video.php文件用力显示RealPlayer控件。
下面我们加入简单的JavaScript 代码用来控制视频的播放。
script language="JavaScript"
function play(filename){
top.document.all("iVideo").src = "video.php?src="+filename;
} // iVideo 是刚刚定义的IFRAME 的标识符
/script
我们可以使用javascript控制RealPlayer插件更复杂的功能,如提取视频的长宽、测试用户的网络速率、自定义播放事件等等。关于RealPlayer ActiveX开发的具体细节,请参阅RealPlayer官方网站。
我们假设有一个视频文件,其URL为,那么我们就可以这样定义:
a href="JavaScript:play('')"文件1/a,如果文件是在本地,URL也可以为相对路径。
三、检测用户是否安装RealPlayer播放器
在页面的head/head部分加入以下JavaScript代码,用以检测用户是否安装RealPlayer播放器:
SCRIPT LANGUAGE=JavaScript
!--
var RealMode=0;
var RealPlayer5=0;
var RealPlayer4=0;
var RealPlayerG2=0;
if (navigator.userAgent.indexOf("MSIE") 0 ){
numPlugins = navigator.plugins.length;
for (i = 0; i numPlugins; i++){
plugin = navigator.plugins[i];
if (plugin.name.substring(0,10)=="RealPlayer"){
RealMode=1;
}
}
}
//以下代码通过VBScript的CreateObject()函数动态的创建RealPlayer对象
document.write('SCRIPT LANGUAGE=VBScript\ \n');
document.write('on error resume next \n');
document.write('RealPlayerG2 = (NOT IsNull(CreateObject("rmocx.RealPlayer G2 Control")))\n');
document.write('RealPlayer5 = (NOT IsNull(CreateObject("RealPlayer.RealPlayer(tm) ActiveX Control (32-bit)")))\n');
document.write('RealPlayer4 = (NOT IsNull(CreateObject("RealVideo.RealVideo(tm) ActiveX Control (32-bit)")))\n');
document.write('/SCRIPT\ \n');
if ( RealPlayerG2 || RealPlayer5 || RealPlayer4 ){
//可以在此处添加object对象
}else if ( RealMode ){ //NetScape浏览器用户
//可以在此处加入embed对象
}else
{
window.location.replace("install.htm"); //转入install.htm页面指导用户进行安装
}
--
/Script
四、应用实例
object classid=clsid:CFCDAA03-8BE4-11cf-B84B-0020AFBBCCFA width=300 height=225
param name=src value=../kjsk/img/sp1.rm
param name=console value=clip1param name=controls value=imagewindow
param name=autostart value=true
embed src="../kjsk/img/sp1.rm" width="300" height="225" autostart="true" console="clip1" controls="imagewindow"/embed
/object
br
object classid=clsid:cfcdaa03-8be4-11cf-b84b-0020afbbccfa height=32 width=300
param name=src value=../kjsk/img/sp1.rm
param name=controls value=controlpanel
param name=console value=clip1
;
embed src="../kjsk/img/sp1.rm" width="300" height="32" controls="controlpanel" console="clip1"/embed
/object