• <ins id="pjuwb"></ins>
    <blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>

    <noscript id="pjuwb"></noscript>
          <sup id="pjuwb"><pre id="pjuwb"></pre></sup>

            <dd id="pjuwb"></dd>
            <abbr id="pjuwb"></abbr>
            

    
            

            




            







												


        

            小默
            

            
			
            
				
					
	
            
		
            
			【轉】是否能做到上傳目錄不執行ASP
		
            
		
            OK.讓我們測試一下這句話能否通過NTFS權限控制來做到

            首先我們寫一個最簡單的ASP程序.我這里用了我自己的一個簡單的登陸系統.
            里面又asp.有對外引用的部分.有access數據庫
            我們將權限設置成
            administrators  全部
            system  全部
            然后主要我們將對添加的一個everyone權限來測試.
            因為沒有其他用戶組了.所以iuser將繼承everyone組的權限
            所以是不是不用everyone用iuser用戶是一樣的.

            首先只打開everyone用戶的讀取權限.
            在高級內顯示如下權限
            1.列出文件夾/讀取數據
            2.讀取屬性
            3.讀取擴展屬性
            打開測試頁面登陸.正常

            然后高級內只保留
            1.列出文件夾/讀取數據
            打開測試頁面.出現ACL登陸框了.看來權限不足

            再接下來我們測試傳說中的取消ASP執行權限.
            因為只讀情況下已經沒有執行權限了.
            我們現在特別將執行權限取消
            1.遍歷文件夾/運行文件 -- 拒絕
            2.列出文件夾/讀取數據 -- 允許
            3.讀取屬性 -- 允許
            4.讀取擴展屬性 -- 允許
            現在打開ASP測試頁面.仍舊可以正常訪問

            由于asp文件對于iis來說只是一個文本文件
            IIS讀入asp文件內容后交由asp.dll進行解析
            所以asp運行根本和windows應用程序不同
            完全不需要執行權限.只需要只讀權限
            所以不允許asp運行,雖然可以做到,就是取消讀權限
            但是取消讀權限之后.整個目錄內所有文件都將無法通過iis讀取
            包括圖片文件等等.那么上傳目錄不允許asp執行.等于是上傳的所有內容都不能讀
            這種設置將導致上傳內容毫無意義.

            最后我們來看這句話
            "能執行ASP腳本的地方不允許寫入文件,能寫入文件的地方不允許運行ASP程序"
            前半句我們可以做到.對asp目錄只讀權限.
            后半句雖然嚴格來說也可以做到.對上傳目錄取消讀權限
            但是這樣將導致上傳任何文件都無法訪問.失去了上傳文件功能的意義了.

            本人測試環境
            windows2003 中文企業版VLK SP1
            IIS 6
            ---------------------------------------------------------------------
            寫權限依靠NTFS權限設置,執行asp依靠IIS設置
            -------------------------------------------------------------------

            
		
            
			posted on 2010-04-30 11:05 小默 閱讀(438) 評論(0)  編輯 收藏 引用  所屬分類: Security 
		
            
	
            
	
	


	


            
	    
    




            






            

				
			
            
			
            
				
					
					

            導航
            

					
					

            統計
            
	
					

            留言簿(13)
            


		
            隨筆分類(287)
            
		
				
			
	
		
            隨筆檔案(289)
            
		
				
			
	
		
            漏洞
            
		
				
			
	



            搜索
            



            積分與排名
            



            最新評論
	
            

            
	
			
		

            


            閱讀排行榜
            


					

				
			
            			
			
	
    
    







            
	   
	



国产欧美久久久精品影院|
青青热久久国产久精品|
久久亚洲私人国产精品vA
|
色欲综合久久中文字幕网|
久久久无码精品亚洲日韩蜜臀浪潮|
久久久国产乱子伦精品作者|
国产香蕉97碰碰久久人人|
亚洲中文久久精品无码|
国产高清国内精品福利99久久|
亚洲午夜无码久久久久小说|
久久亚洲AV成人无码电影|
99久久精品免费看国产|
97久久国产综合精品女不卡|
国产亚洲成人久久|
国内精品久久久久影院日本|
精品久久久无码中文字幕天天|
无码AV波多野结衣久久|
日韩欧美亚洲综合久久影院Ds|
国产一区二区三区久久精品|
国产成人精品久久|
久久亚洲av无码精品浪潮|
久久综合综合久久狠狠狠97色88|
久久久久se色偷偷亚洲精品av|
国产精品无码久久四虎|
丁香五月网久久综合|
久久亚洲精品人成综合网|
久久久久久久久波多野高潮|
久久久久婷婷|
久久精品国产99久久久香蕉|
国产激情久久久久影院|
国产99久久久国产精品~~牛|
国内精品人妻无码久久久影院
|
久久久久av无码免费网|
日本久久中文字幕|
久久露脸国产精品|
色婷婷久久久SWAG精品|
亚洲国产成人精品无码久久久久久综合|
国产精品久久久久一区二区三区|
99久久国产热无码精品免费久久久久|
AV色综合久久天堂AV色综合在|
久久久无码精品亚洲日韩按摩
|