四微软自称的ASP的安全优点虽然我们本文的重点是探讨ASP漏洞和后门，但是有必要谈谈ASP在网络安全方面的“优点”，之所以加个“”，是因为有时这些微软宣称的“优点”恰恰是其安全隐犯。微软称ASP在网络安全方面一大优点就是用户不能看到ASP的源程序，从ASP的原理上看，ASP在服务端执行并解释成标准的HTML语句，再传送给客户端浏览器。“屏蔽”源程序能很好的维护ASP开发人员的版权，试想你辛辛苦苦做了一个很优秀的程序，给人任意COPY，你会怎么想？而且黑客还能分析你的ASP程序，挑出漏洞。更重要的是有些ASP开发者喜欢把密码，有特权的用户名和路径直接写在程序中，这样别人通过猜密码，猜路径，很容易找到攻击系统的“入口”。但是目前已经发现了很多能查看ASP源程序的漏洞，后面我们还要讨论。IIS支持虚拟目录，通过在“服务器属性”对话框中的“目录”标签可以管理虚拟目录。建立虚拟目录对于管理WEB站点具有非常重要的意义。虚拟目录隐藏了有关站点目录结构的重要信息。因为在浏览器中，客户通过选择“查看源代码”，很容易就能获取页面的文件路径信息，如果在WEB页中使用物理路径，将暴露有关站点目录的重要信息，这容易导致系统受到攻击。其次，只要两台机器具有相同的虚拟目录，你就可以在不对页面代码做任何改动的情况下，将WEB页面从一台机器上移到另一台机器。还有就是，当你将WEB页面放置于虚拟目录下后，你可以对目录设置不同的属性，如：Read、Excute、Script。读访问表示将目录内容从IIS传递到浏览器。而执行访问则可以使在该目录内执行可执行的文件。当你需要使用ASP时，就必须将你存放.asp文件的目录设置为“Excute（执行）”。建议大家在设置WEB站点时，将HTML文件同ASP文件分开放置在不同的目录下，然后将HTML子目录设置为“读”，将ASP子目录设置为“执行”，这不仅方便了对WEB的管理，而且最重要的提高了ASP程序的安全性，防止了程序内容被客户所访问。五ASP漏洞分析和解决方法有人说一台不和外面联系的电脑是最安全的电脑，一个关闭所有端口，不提供任何服务的电脑也是最安全的。黑客经常利用我们所开放的端口实施攻击，这些攻击最常见的是DDOS（拒绝服务攻击）.下面我会列出ASP的二十几个漏洞，每个漏洞都会有漏洞描述和解决方法。1在ASP程序后加个特殊符号，能看到ASP源程序受影响的版本：win95+pwsIIS3.098+pws4不存在这个漏洞。IIS4.0以上的版本也不存在这个漏洞。问题描述：这些特殊符号包括小数点，%81,::$DATA。比如：http://someurl/somepage.asp.http://someurl/somepage.asp%81http://someurl/somepage.asp::$DATAhttp://someurl/somepage.asp%2ehttp://someurl/somepage%2e%41sphttp://someurl/somepage%2e%asphttp://someurl/somepage.asp%2ehttp://someurl/msadc/samples/selector/showcode.asp?source=/msadc/samples/../../../../../../boot.ini（可以看到boot.ini的文件内容）那么在安装有IIS3.0和win95+PWS的浏览中就很容易看到somepage.asp的源程序。究竟是什么原因造成了这种可怕的漏洞呢？究其根源其实是WindowsNT特有的文件系统在做怪。有一点常识的人都知道在NT提供了一种完全不同于FAT的文件系统：NTFS，这种被称之为新技术文件系统的技术使得NT具有了较高的安全机制，但也正是因为它而产生了不少令人头痛的隐患。大家可能不知道，NTFS支持包含在一个文件中的多数据流，而这个包含了所有内容的主数据流被称之为“DATA”，因此使得在浏览器里直接访问NTFS系统的这个特性而轻易的捕获在文件中的脚本程序成为了可能。然而直接导致::$DATA的原因是由于IIS在解析文件名的时候出了问题，它没有很好地规范文件名。解决方法和建议：如果是WinodwsNT用户，安装IIS4.0或者IIS5.0，Windows2000不存在这个问题。如果是win95用户，安装WIN98和PWS4.0。2ACCESSmdb数据库有可能被下载的漏洞问题描述：在用ACCESS做后台数据库时，如果有人通过各种方法知道或者猜到了服务器的ACCESS数据库的路径和数据库名称，那么他能够下载这个ACCESS数据库文件，这是非常危险的。比如：如果你的ACCESS数据库book.mdb放在虚拟目录下的database目录下，那么有人在浏览器中打入：h