ASP基础教程:堵住ASP漏洞

核心提示： 二、 iis2、 iis3、 iis4 的一个广为人知的漏洞就是 ::$DATA，通过它使用 ie 的 view source 或 netscape 直接访问该 asp 文件就能轻而易举地看到 asp 代码，ASP基础教程:堵住ASP漏洞(2)， win98+pws4 不存在这个漏洞，究竟

二、 iis2、 iis3、 iis4 的一个广为人知的漏洞就是 ::$DATA，通过它使用 ie 的 view source 或 netscape 直接访问该 asp 文件就能轻而易举地看到 asp 代码。 win98+pws4 不存在这个漏洞。

究竟是什么原因造成了这种可怕的漏洞呢？究其根源其实是 Windows NT 特有的文件系统在做怪。有一点常识的人都知道在 NT 提供了一种完全不同于 FAT 的文件系统： NTFS，这种被称之为新技术文件系统的技术使得 NT 具有了较高的安全机制，但也正是因为它而产生了不少令人头痛的隐患。大家可能不知道， NTFS 支持包含在一个文件中的多数据流，而这个包含了所有内容的主数据流被称之为“DATA”，因此使得在浏览器里直接访问 NTFS 系统的这个特性而轻易的捕获在文件中的脚本程序成为了可能。然而直接导致 ::$DATA 的原因是由于 IIS 在解析文件名的时候出了问题，它没有很好地规范文件名。

我们该如何解决这个问题呢？办法有几种：

a、是将 .asp 文件存放的目录设置为不可读（ASP 仍能执行），这样 html、 css 等文件就不能放在这个目录下，否则它们将不能被浏览。

b、是安装微软提供的补丁程序，下载的地址如下（注意针对不同的系统有不同的补丁）：

该补丁是针对 IIS3， Intel 平台

ftp.microsoft.com/bussys/iis/iis-public/fixes/cht/security/iis3-datafix/iis3fixi.exe

该补丁是针对 IIS3， Intel 平台

ftp.microsoft.com/bussys/iis/iis-public/fixes/cht/security/iis3-datafix/iis3fixa.exe

该补丁是针对 IIS4， Alpha 平台

ftp.microsoft.com/bussys/iis/iis-public/fixes/cht/security/iis4-datafix/iis4fixi.exe

该补丁是针对 IIS4， Alpha 平台