ASP.NET虛擬主機在顯示文件時的隱患淺析
作者:一泓
ASP.NET虛擬主機在顯示文件時有什么要注意的呢?那么本文就向你介紹這方面的內容,在實例的分析下我們看看有沒有值得注意的地方。
ASP.NET虛擬主機在顯示文件時的隱患,首先我們來看實例,顯示文件屬性和內容的程序showfile.aspx
在顯示屬性和內容時需要用到的兩個主要的類:
System.IO.FileInfo:提供創建、復制、刪除、移動和打開文件的實例方法,并且幫助創建 FileStream 對象。
System.IO.StreamReader:實現一個 TextReader,使其以一種特定的編碼從字節流中讀取字符。除非另外指定,StreamReader的默認編碼為 UTF-8,而不是當前系統的 ANSI 代碼頁。UTF-8 可以正確處理 Unicode 字符并在操作系統的本地化版本上提供一致的結果。
ASP.NET虛擬主機在顯示文件之Showfile.aspx頁面主要代碼:
- ﹤asp:Label id="FileDetail" runat="server"/﹥
我們只是將文件的屬性信息和部分內容顯示在此Label上。所以沒有其他復雜的代碼。
獲取文件信息和內容的主要代碼都在Page_Load方法中(代碼在showfile.aspx.cs文件中):
- //接收傳入的參數,確定需要操作的文件名稱
- strFile2Show = Request.QueryString["file"];
- //根據文件名實例化一個FileInfo對象
- FileInfo fi = new FileInfo(strFile2Show);
- FileDetail.Text = "文件名:";
- FileDetail.Text += strFile2Show+"﹤br﹥";
- FileDetail.Text += "文件大小";
- //獲得文件的大小,然后變換單位為KB
- FileDetail.Text += (fi.Length/1024).ToString()+"K﹤br﹥";
- FileDetail.Text += "創建文件時間:";
- //獲得文件的創建日期
- FileDetail.Text += fi.CreationTime.ToString();
- FileDetail.Text += "上次訪問時間:";
- //獲得文件的上次訪問日期
- FileDetail.Text += fi.LastAccessTime.ToString()+"﹤br﹥";
- FileDetail.Text += "上次寫入時間:";
- //獲得文件的上次寫入日期
- FileDetail.Text += fi.LastWriteTime.ToString()+"﹤br﹥";
- //實例化一個StreamReader對象,用于讀取此FileInfo的內容
- StreamReader FileReader = fi.OpenText();
- //定義一個長度為1000的字符數組作為緩沖區
- char[] theBuffer = new char[1000];
- /*ReadBlock方法:從當前流中讀取最大數量的字符并從索引開始將該數據寫入緩沖區。
- 參數:
- char[] buffer:方法返回時,包含指定的字符數組
- int index:buffer 中開始寫入的位置
- int count:最多讀取的字符數
- */
- int nRead = FileReader.ReadBlock(theBuffer,0,1000);
- FileDetail.Text += new String(theBuffer,0,nRead);
- //關閉此 StreamReader 并釋放與之關聯的所有系統資源
- FileReader.Close();
到目前為止,我們實現了一個簡單的web頁面的服務器磁盤管理應用程序,可以查看、刪除目錄和文件。如果需要修改文件、新建文件和文件夾等功能,只需稍作修改,添加上相應的代碼就可以。由于我們只是通過這個程序說明服務器中存在的安全隱患,所以在這里就不再實現這些功能了。
通過這三個簡單的程序,我想大家已經能夠清楚的認識到ASP.NET虛擬主機的隱患漏洞的危害性了,如果我們不加防范的話,其他用戶的程序就能被惡意使用此功能的用戶查看、刪除,服務器的系統日志、系統文件也沒有任何安全可言了。
ASP.NET虛擬主機在顯示文件時的隱患就介紹到這里,也是對ASP.NET虛擬主機的隱患做一下了解,希望對你有所幫助。
【編輯推薦】
責任編輯:仲衡
來源:
百度空間
