明輝手游網(wǎng)中心:是一個(gè)免費(fèi)提供流行視頻軟件教程、在線學(xué)習(xí)分享的學(xué)習(xí)平臺(tái)!

ASP漏洞集-用ASP完成頁(yè)面保密的2種方法

發(fā)表時(shí)間:2024-02-08 來(lái)源:明輝站整理相關(guān)軟件相關(guān)文章人氣:

[摘要]在維護(hù)公司內(nèi)部網(wǎng)站時(shí)碰到一個(gè)實(shí)際問(wèn)題——MIS主管要求將一些技術(shù)文件放在網(wǎng)頁(yè)上,且只能讓MIS 的員工瀏覽。這就涉及到如何對(duì)網(wǎng)頁(yè)保密的問(wèn)題。  最初我借助Frontpage和Vbscript設(shè)計(jì)了一種方案,鏈接MIS技術(shù)頁(yè)(此處預(yù)設(shè)為actpwdrst.htm)之前,先 鏈接actpwd.htm輸...

   在維護(hù)公司內(nèi)部網(wǎng)站時(shí)碰到一個(gè)實(shí)際問(wèn)題——MIS主管要求將一些技術(shù)文件放在網(wǎng)頁(yè)上,且只能讓MIS 的員工瀏覽。這就涉及到如何對(duì)網(wǎng)頁(yè)保密的問(wèn)題。
  最初我借助Frontpage和Vbscript設(shè)計(jì)了一種方案,鏈接MIS技術(shù)頁(yè)(此處預(yù)設(shè)為actpwdrst.htm)之前,先 鏈接actpwd.htm輸入名稱和密碼(此處名稱和密碼都預(yù)設(shè)
為“mis”),只有正確輸入后,才能鏈接到actpwdrst.htm。 以下是它們的代碼。
   Actpwd.htm 代 碼 如 下:
< html >
< head >
< title > 密 碼< /title >
< /head >
< body >
< form name=“form1” >
< input type=“hidden”
name=“VTI-GROUP”_ value=“0” >
< div align=“center” >< center >< p >
名 稱< input type =“text”
name=“T1” size=_“20” >
密 碼< input type =“password”
name=“T2”_ size=“20” >
< input type=“button” value=“
確 認(rèn)”_ name=“B1” >
< /p >< /center >< /div >
< /form >
< p >
< script language=“vbscript” >
< !-
sub b1_onclick()
if form1.t1.value=“mis” and_ form1.t2.value=“mis” then
document.location=_“actpwdrst.htm”
else
m1=msgbox(“ 密 碼 錯(cuò) 誤_
”,0+48, “Warring”)
end if
end sub
// -- >
< /script >
< /p >
< /body >
< /html >
Actpwdrst.htm 代 碼 如 下:
< html >
< head >
< title > 密 碼< /title >
< /head >
< body >
< p align=“center” >
< font face=“ 標(biāo) 楷 體” size=“7” color=“0000ff” >
< strong >
你 已 成 功 登 錄 !
< /strong >
< /font >
< /p >
< /body
< /html >
  細(xì)心的朋友可能已發(fā)現(xiàn)這種方案的不可靠性——輸入和判斷都在actpwd.htm中完成,不管輸入的名稱和密碼是不是正確的,只要記住了actpwdrst.htm 所在的URL,根
本就不需要通過(guò)actpwd.htm 就可直接鏈接actpwdrst.htm。所以這種方案的保密系數(shù)就不是很好。
  下面看看采用ASP設(shè)計(jì)的方案。鏈接MIS技術(shù)頁(yè)(此處預(yù)設(shè)為asppwdrst.asp)之前,先鏈接asppwd.asp輸入 名稱和密碼(此處名稱和密碼都預(yù)設(shè)為“mis”),只有正確
輸入后,才能鏈接到asppwdrst.asp。以下是它們的 代碼。
Asppwd.asp 代 碼 如 下:
< html >
< body >
< form name=“form1” action=
“asppwdrst.asp” method_
=“POST” >
< input type=“hidden” name=
“VTI-GROUP” value=_“0” >
< div align=“center” >< center >< p >
名 稱< input type=“text”
name=“T1” size=“20” >
密 碼< input type =
“password” name=“T2” size=_“20” >
< input type=“submit” value=
“ 確 認(rèn)” name=_“B1” >
< /p >< /center >< /div >
< /form >
< /body >
< /html >
Asppwdrst.asp 代 碼 如 下:
< html >
< % if rtrim(request.form(“t1”))=
“mis” and_ rtrim(request.form(“t2”))=
“mis” then % >
< body >
< p align=“center” >< font face=
“ 標(biāo) 楷 體” size=“7”_ color=“#0000ff” >
< strong > 你 已 成 功 登 錄 !
< /strong >< /font >< /p >
< /body >
< % else % >
< body >
< p align=“center” >< font face=
“ 標(biāo) 楷 體” size=“7”_ color=“#0000ff” >
< strong > 請(qǐng) 輸 入 正 確 的 用 戶 名 和 密 碼
< /strong >< /font >< /p >
< /body >
< % end if % >
< /html >

  在這個(gè)方案里asppwd.asp只提供輸入的功能,而名稱和密碼的確認(rèn)工作由asppwdrst.asp來(lái)做。這樣即使 您記住了asppwdrst.asp所在的URL,也看不到具體的內(nèi)容
。所以用這種方案設(shè)計(jì)的網(wǎng)頁(yè)保密系數(shù)就很高。