ASP漏洞集-用ASP实现网页保密的两种方法
程序员文章站
2022-03-26 19:44:43
在维护公司内部网站时碰到一个实际问题——mis主管要求将一些技术文件放在网页上,且只能让mis 的员工浏览。这就涉及到如何对网页保密的问题。 最初我借助frontpage和vbscript设计了一...
在维护公司内部网站时碰到一个实际问题——mis主管要求将一些技术文件放在网页上,且只能让mis 的员工浏览。这就涉及到如何对网页保密的问题。
最初我借助frontpage和vbscript设计了一种方案,链接mis技术页(此处预设为actpwdrst.htm)之前,先 链接actpwd.htm输入名称和密码(此处名称和密码都预设
为“mis”),只有正确输入后,才能链接到actpwdrst.htm。 以下是它们的代码。
actpwd.htm 代 码 如 下:
< html >
< head >
< title > 密 码< /title >
< /head >
< body >
< form name=“form1” >
< input type=“hidden”
name=“vti-group”_ value=“0” >
< p align=“center” >< center >< p >
名 称< input type =“text”
name=“t1” size=_“20” >
密 码< input type =“password”
name=“t2”_ size=“20” >
< input type=“button” value=“
确 认”_ name=“b1” >
< /p >< /center >< /p >
< /form >
< p >
< script language=“vbscript” >
< !-
sub b1_onclick()
if form1.t1.value=“mis” and_ form1.t2.value=“mis” then
document.location=_“actpwdrst.htm”
else
m1=msgbox(“ 密 码 错 误_
”,0 48, “warring”)
end if
end sub
// -- >
< /script >
< /p >
< /body >
< /html >
actpwdrst.htm 代 码 如 下:
< html >
< head >
< title > 密 码< /title >
< /head >
< body >
< p align=“center” >
< font face=“ 标 楷 体” size=“7” color=“0000ff” >
< strong >
你 已 成 功 登 录 !
< /strong >
< /font >
< /p >
< /body
< /html >
细心的朋友可能已发现这种方案的不可靠性——输入和判断都在actpwd.htm中完成,不管输入的名称和密码是不是正确的,只要记住了actpwdrst.htm 所在的url,根
本就不需要通过actpwd.htm 就可直接链接actpwdrst.htm。所以这种方案的保密系数就不是很好。
下面看看采用asp设计的方案。链接mis技术页(此处预设为pwdrst.asp)之前,先链接asppwd.asp输入 名称和密码(此处名称和密码都预设为“mis”),只有正确
输入后,才能链接到asppwdrst.asp。以下是它们的 代码。
asppwd.asp 代 码 如 下:
< html >
< body >
< form name=“form1” action=
“asppwdrst.asp” method_
=“post” >
< input type=“hidden” name=
“vti-group” value=_“0” >
< p align=“center” >< center >< p >
名 称< input type=“text”
name=“t1” size=“20” >
密 码< input type =
“password” name=“t2” size=_“20” >
< input type=“submit” value=
“ 确 认” name=_“b1” >
< /p >< /center >< /p >
< /form >
< /body >
< /html >
asppwdrst.asp 代 码 如 下:
< html >
< % if rtrim(request.form(“t1”))=
“mis” and_ rtrim(request.form(“t2”))=
“mis” then % >
< body >
< p align=“center” >< font face=
“ 标 楷 体” size=“7”_ color=“#0000ff” >
< strong > 你 已 成 功 登 录 !
< /strong >< /font >< /p >
< /body >
< % else % >
< body >
< p align=“center” >< font face=
“ 标 楷 体” size=“7”_ color=“#0000ff” >
< strong > 请 输 入 正 确 的 用 户 名 和 密 码
< /strong >< /font >< /p >
< /body >
< % end if % >
< /html >
在这个方案里asppwd.asp只提供输入的功能,而名称和密码的确认工作由asppwdrst.asp来做。这样即使 您记住了asppwdrst.asp所在的url,也看不到具体的内容
。所以用这种方案设计的网页保密系数就很高
最初我借助frontpage和vbscript设计了一种方案,链接mis技术页(此处预设为actpwdrst.htm)之前,先 链接actpwd.htm输入名称和密码(此处名称和密码都预设
为“mis”),只有正确输入后,才能链接到actpwdrst.htm。 以下是它们的代码。
actpwd.htm 代 码 如 下:
< html >
< head >
< title > 密 码< /title >
< /head >
< body >
< form name=“form1” >
< input type=“hidden”
name=“vti-group”_ value=“0” >
< p align=“center” >< center >< p >
名 称< input type =“text”
name=“t1” size=_“20” >
密 码< input type =“password”
name=“t2”_ size=“20” >
< input type=“button” value=“
确 认”_ name=“b1” >
< /p >< /center >< /p >
< /form >
< p >
< script language=“vbscript” >
< !-
sub b1_onclick()
if form1.t1.value=“mis” and_ form1.t2.value=“mis” then
document.location=_“actpwdrst.htm”
else
m1=msgbox(“ 密 码 错 误_
”,0 48, “warring”)
end if
end sub
// -- >
< /script >
< /p >
< /body >
< /html >
actpwdrst.htm 代 码 如 下:
< html >
< head >
< title > 密 码< /title >
< /head >
< body >
< p align=“center” >
< font face=“ 标 楷 体” size=“7” color=“0000ff” >
< strong >
你 已 成 功 登 录 !
< /strong >
< /font >
< /p >
< /body
< /html >
细心的朋友可能已发现这种方案的不可靠性——输入和判断都在actpwd.htm中完成,不管输入的名称和密码是不是正确的,只要记住了actpwdrst.htm 所在的url,根
本就不需要通过actpwd.htm 就可直接链接actpwdrst.htm。所以这种方案的保密系数就不是很好。
下面看看采用asp设计的方案。链接mis技术页(此处预设为pwdrst.asp)之前,先链接asppwd.asp输入 名称和密码(此处名称和密码都预设为“mis”),只有正确
输入后,才能链接到asppwdrst.asp。以下是它们的 代码。
asppwd.asp 代 码 如 下:
< html >
< body >
< form name=“form1” action=
“asppwdrst.asp” method_
=“post” >
< input type=“hidden” name=
“vti-group” value=_“0” >
< p align=“center” >< center >< p >
名 称< input type=“text”
name=“t1” size=“20” >
密 码< input type =
“password” name=“t2” size=_“20” >
< input type=“submit” value=
“ 确 认” name=_“b1” >
< /p >< /center >< /p >
< /form >
< /body >
< /html >
asppwdrst.asp 代 码 如 下:
< html >
< % if rtrim(request.form(“t1”))=
“mis” and_ rtrim(request.form(“t2”))=
“mis” then % >
< body >
< p align=“center” >< font face=
“ 标 楷 体” size=“7”_ color=“#0000ff” >
< strong > 你 已 成 功 登 录 !
< /strong >< /font >< /p >
< /body >
< % else % >
< body >
< p align=“center” >< font face=
“ 标 楷 体” size=“7”_ color=“#0000ff” >
< strong > 请 输 入 正 确 的 用 户 名 和 密 码
< /strong >< /font >< /p >
< /body >
< % end if % >
< /html >
在这个方案里asppwd.asp只提供输入的功能,而名称和密码的确认工作由asppwdrst.asp来做。这样即使 您记住了asppwdrst.asp所在的url,也看不到具体的内容
。所以用这种方案设计的网页保密系数就很高