3 code.asp文件會泄漏ASP代碼

問題描述：
舉個很簡單的例子，在微軟提供的 ASP1.0 的例程里有一個 .asp 文件，專門用來查看其它 .asp 文件的源代碼，該文件為
ASPSamp/Samples/code.asp。如果有人把這個程序上傳到服務器，而服務器端沒有任何防范措施的話，他就可以很容易地查看他
人的程序。例如 :
code.asp?source=/directory/file.asp
不過這是個比較舊的漏洞了，相信現在很少會出現這種漏洞。
下面這命令是比較新的：
http://someurl/iissamples/exair/howitworks/code.asp?/lunwen/soushuo.asp=xxx.asp
最大的危害莫過于asa文件可以被上述方式讀出；數據庫密碼以明文形式暴露在黑客眼前;

問題解決或建議：
對于IIS自帶的show asp code的asp程序文件，刪除該文件或者禁止訪問該目錄即可

4、filesystemobject 組件篡改下載 fat 分區上的任何文件的漏洞

問題描述：
IIS3、 IIS4 的 ASP 的文件操作都可以通過 filesystemobject 實現，包括文本文件的讀寫目錄操作、文件的拷貝改名刪
除等，但是這個強大的功能也留下了非常危險的 "后門"。利用 filesystemobjet 可以篡改下載 fat 分區上的任何文件。即使
是 ntfs 分區，如果權限沒有設定好的話，同樣也能破壞，一不小心你就可能遭受"滅頂之災 "。遺憾的是很多 webmaster 只知
道讓 web 服務器運行起來，很少對 ntfs 進行權限 設置，而 NT 目錄權限的默認設置偏偏安全性又低得可怕。因此，如果你是
Webmaster，建議你密切關注服務器的設置，盡量將 web 目錄建在 ntfs 分區上，目錄不要設定 everyone full control，即使
是是管理員組的成員一般也沒什么必要 full control，只要有讀取、更改權限就足夠了。 也可以把filesystemobject的組件刪
除或者改名。

5、輸入標準的HTML語句或者javascript語句會改變輸出結果

問題描述：
在輸入框中打入標準的HTML語句會得到什么相的結果呢？
比如一個留言本，我們留言內容中打入：
<font size=10>你好！</font>
如果你的ASP程序中沒有屏蔽html語句，那么就會改變"你好"字體的大小。在留言本中改變字體大小和貼圖有時并不是什么壞
事，反而可以使留言本生動。但是如果在輸入框中寫個 javascript 的死循環，比如：<a herf="http://someurl"
onMouseover="while(1){window.close('/')}">特大新聞</a>
那么其他查看該留言的客人只要移動鼠標到"特大新聞"，上就會使用戶的瀏覽器因死循環而死掉。

解決方法和建議：
編寫類似程序時應該做好對此類操作的防范，譬如可以寫一段程序判斷客戶端的輸入，并屏蔽掉所有的 HTML、 Javascript
語句。
（出處：熱點網絡）