启用父路径对网站安全的详实介绍
2011-05-06 09:57
274 查看
对包含文件的深入了解:
“Server-side include”命令提供了一种方式,可在 Web 服务器处理文件之前在该文件中插入其他文件的内容。ASP 只执行该机制的 #include。要将文件插入 .asp 文件,可使用下面的语法:
<!-- #include virtual | file ="filename" -->
关键字“virtual”和“file”表示用来包含文件的路径类型,“filename”表示想要包含文件的路径和文件名。
被包含的文件并不要求具有特定的文件扩展名;但是,赋予被包含文件 .inc 的扩展名是一个良好的编程习惯,这样有助于将它们与其他类型的文件区分开来。
使用 Virtual 关键字
使用关键字“virtual”来表示以虚拟目录开始的路径。例如,如果文件 Footer.inc 驻留在虚拟目录 /Myapp 中,则下面的行会将 Footer.inc 的内容插入到包含该行的文件中:
<!-- #include virtual ="/myapp/footer.inc" -->
使用 File 关键字
使用关键字“file”来表示相对路径。相对路径以包含文件所在的路径开始。例如,如果文件 Header1.inc 在 Myapp/Headers 中,并且 Myapp 中有一个文件,则下面的行会将 Header1.inc 插入到该文件中:
<!-- #include file ="headers/header1.inc" -->
注意,被包含文件 Headers/header1.inc 的路径相对于包含文件;如果包含该“#include”语句的脚本不位于目录 /Myapp 中,语句将不起作用。
也可以使用关键字“file”和语法 (../) 来包含父目录或更高层目录中的文件,但必须选中 Internet 信息服务管理单元中的“启用上层路径”选项。 有关说明,请参阅配置 ASP 应用程序。
被包含文件的位置
ASP 检测被包含文件的变化(不考虑位置),并当浏览器下一次请求包含该文件的 .asp 文件时插入该文件内容。不过,通常说来,如果包含文件驻留在相同应用程序或 Web 站点内部,则很容易维护这些文件的安全。若需要更高安全性,最好将包含文件放到应用程序内的单独目录中(如 /Includes),并且只应用适当的“执行”(Web 服务器)权限。详细信息,请参阅设置 Web 服务器权限。
要点 默认情况下,对所有文件应用 Web 服务器“读取”权限。不过,要防止用户查看包含文件的内容,可以禁用 Include 目录的“读取”权限。
包含文件:提示和警告
被包含的文件也可以包含其他文件。只要“#include”命令不导致循环,.asp 文件也可以多次包含同一文件。例如,如果文件 First.asp 包含文件 Second.inc,则 Second.inc 不能反过来包含 First.asp。文件也不能包含其自身。ASP 检测这样的循环或嵌套错误,生成错误消息,并停止处理请求的 .asp 文件。
ASP 在执行脚本命令之前包含文件。因此,不能使用脚本命令来建立被包含的文件名。举例来说,因为 ASP 试图在将文件名指派给变量 name 之前执行“#include”命令,所以下面的脚本无法打开文件 Header1.inc。
<!-- 该脚本将失败 -->
<% name=(header1 & ".inc") %>
<!-- #include file="<%= name %>" -->
脚本命令和过程必须完全包含在脚本分隔符 <% 和 %> 内,即 HTML 标签 <SCRIPT> 和 </SCRIPT>,或 HTML 标签 <OBJECT> 和 </OBJECT> 内部。也就是说,不能在包含 .asp 文件中打开脚本分隔符,并在被包含的文件中关闭分隔符;脚本或脚本命令必须是一个完整的单元。例如,下面的脚本将不起作用:
<!-- 该脚本将失败 -->
<%
For i = 1 To n
主文件中的语句
<!-- #include file="header1.inc" -->
Next
%>
但下面的脚本会起作用:
<%
For i = 1 to n
主文件中的语句
%>
<!-- #include file="header1.inc" -->
<% Next %>
注意 如果 ASP 脚本包含的文件中存在包含脚本不需要的大量函数和变量,则这些无用的结构反而会影响性能,并最终降低 Web 应用程序的伸缩性。因此,通常将包含文件分成多个小文件,并且只包含那些服务器端脚本必需的文件,而不是包含那些带有冗余信息的一个或多个大型包含文件。
有时,可能需要使用 HTML <SCRIPT></SCRIPT> 标签来包含服务器端文件。例如,下面的脚本包含服务器可以执行的文件(使用相对路径):
<SCRIPT LANGUAGE="VBScript" RUNAT=SERVER SRC="Utils/datasrt.inc"></SCRIPT>
下表说明通过 SRC 属性使用虚拟或相对路径来包含文件的正确语法:
路径类型 语法 示例:
相对 SRC="Path/Filename" SRC="Utilities/Test.asp"
虚拟 SRC="/Path/Filename" SRC="/MyScripts/Digital.asp"
虚拟 SRC="/Path/Filename" SRC="/RegApps/Process.asp"
父路径会引起“HTTP 500 - 内部服务器错误”
“HTTP 500 - 内部服务器错误”引起的原因有多个,初学者比较常见的就是没有启用让IIS支持父路径的功能。这也是我曾经遇到的问题,在windows2000 server下调试好的程序,到了windows2003 server下便出现“HTTP 500 - 内部服务器错误”,当时百思不得其解。这是由于“启用父路径”会带来安全问题,在windows2003上默认是不选的(见后文中引用的微软网站的文章)。
启用父路径的操作步骤如下:
1、启动IIS,在【默认网站】上右键单击,在弹出的菜单中选择【属性】,如图1所示;
图1
2、单击【属性】菜单后,弹出如图2所示的对话框;
图2
3、在图2中选择【主目录】属性页,然后单击【配置】按钮,弹出如图3所示的对话框;
图3
3、在图3中选择【选项】属性页,然后选中图3中的“启用父路径”复选框。
说明:
“启动会话状态”,表示一个客户如果在设定期限内没有活动,则服务器会自动放弃保存客户端的信息以及其他相关的信息。默认的设置时间为20分钟。
“启用缓冲”,此项必须选上,因为在ASP编程中,很多时候需要利用缓冲输出数据。
“启用父路径”,ASP页面中如果使用到了include file=../header.asp 这样的代码,此项必须选上,../表示上级目录下的header.asp页面,是用相对路径来表示的,如果您的IIS页面设置中的“启用父路径”设置为False的情况下,访问此页面时就会报错,因为当前的IIS设置不允许使用..方式访问父路径,您需要将这个值设定为true。启用父路径指定 ASP 页面是否允许相对于当前目录的路径(使用 ../ 表示法)。如果设置为 true,则此属性可能会造成潜在的安全风险,因为包含路径可以访问应用程序根目录外的重要或机密的文件。如果出于安全考虑不开启父路径,建议路径指向的时候写绝对路径,即完整地址 如http://www.xxx.com/header.asp 。
“默认ASP语言”,表示在进行ASP编程的时候,默认的脚本语言VBScript或JavaScript,可以根据需要设置。也可以在程序中单独庙宇编程脚本。
附:微软网站:AspEnableParentPaths MetaBase 属性应设置为 False
症状
默认情况下启用活动服务器页 (ASP) 代码使用下列父目录批注:
<!-- #include file="../default.htm"-->
原因
MetaBase 中 AspEnableParentPaths 属性指定 ASP 可允许到当前目录相对路径 (我使用 / 表示法)。 这可能会带来安全风险。
增强安全性的环境, 中 AspEnableParentPaths 属性应设置为 False, 但 Internet Information Server 4.0 的默认安装将它设置为 True。
注意 : 禁用 ASP 父路径仅影响 .asp 网页上动态内容执行。 这不会影响服务器能力来引用静态内容使用 HTML 代码 (是否 .htm、 .html 或 .asp 文件中调用它)。 下行 default.asp 中会正确显示图像不返回 ASP 0131 错误, 即使 AspEnableParentPaths = False:
< = img src " 按钮 /images/logo.jpg " >
替代方法
要解决此问题, 执行以下步骤:
1. 在 Microsoft 管理控制台打开 Internet 服务管理器。
2. 右击 Web 服务器问题。
3. 在弹出菜单上选择属性。
4. 单击主目录选项卡。
5. 在应用程序设置框中选择配置。
6. 单击 App 选项选项卡。
7. 清除启用父路径选项。
8. 单击确定两次以返回到 Microsoft 管理控制台。
状态
Microsoft 已经确认这将 IIS 版本 4.0 和 5.0 中有问题。
引用地址:http://support.microsoft.com/kb/q184717/
解决方案:摘录下来的,,学习中....
使用SSI(Server Side Include)指令中的#Include
asp包含文件的写法是这样的:
在html中,写:
<!-- #include file = "FileName" -->
<!-- #include Virtual = "FileName" -->
file和Virtual的区别在于file使用相对路径
而Virtual是你的web站点内虚拟目录的完整虚拟路径
比方:
<!-- #include file = "inc/char.inc" -->
就表示包含当前文件所在的虚拟目录路径下面的inc目录下的char.inc
写成 virtual就可能就需要这么写了
<!-- #include virtual = "/myweb/inc/char.inc" -->
最简单的攻防方法:
在IIS中,有时要启用父路径,但黑客常常利用父路径访问硬盘文件。因此,我使用了一种方法: 先将IIS暂停,启用父路径。(之所以暂停是为了防止操作时遭攻击)然后,在根目录下创建虚拟路径“..”,任意选择一个原目录,并将它的所有权限取消即可。经测试,这样虽然可以用父路径,但若访问根目录的父路径,则会出现“您无权查看该网页”的错误。因为根目录下的父路径会被以为成虚拟路径“..”,而其他路径下则可以用父路径。 此方法在Windows Server 2003, Enterprise Edition, Service Pack 2的自带IIS中测试通过。 参见:
参考资料:
1、http://technet.microsoft.com/zh-cn/library/cc785218(WS.10).aspx
启用父路径
2、/article/7353701.html
未启用父路径而导致的HTTP 500内部服务器错误
3、http://doc.bsdlover.cn/html/php/2009/0531/39461.html
在IIS中启用父路径,不被黑客利用
“Server-side include”命令提供了一种方式,可在 Web 服务器处理文件之前在该文件中插入其他文件的内容。ASP 只执行该机制的 #include。要将文件插入 .asp 文件,可使用下面的语法:
<!-- #include virtual | file ="filename" -->
关键字“virtual”和“file”表示用来包含文件的路径类型,“filename”表示想要包含文件的路径和文件名。
被包含的文件并不要求具有特定的文件扩展名;但是,赋予被包含文件 .inc 的扩展名是一个良好的编程习惯,这样有助于将它们与其他类型的文件区分开来。
使用 Virtual 关键字
使用关键字“virtual”来表示以虚拟目录开始的路径。例如,如果文件 Footer.inc 驻留在虚拟目录 /Myapp 中,则下面的行会将 Footer.inc 的内容插入到包含该行的文件中:
<!-- #include virtual ="/myapp/footer.inc" -->
使用 File 关键字
使用关键字“file”来表示相对路径。相对路径以包含文件所在的路径开始。例如,如果文件 Header1.inc 在 Myapp/Headers 中,并且 Myapp 中有一个文件,则下面的行会将 Header1.inc 插入到该文件中:
<!-- #include file ="headers/header1.inc" -->
注意,被包含文件 Headers/header1.inc 的路径相对于包含文件;如果包含该“#include”语句的脚本不位于目录 /Myapp 中,语句将不起作用。
也可以使用关键字“file”和语法 (../) 来包含父目录或更高层目录中的文件,但必须选中 Internet 信息服务管理单元中的“启用上层路径”选项。 有关说明,请参阅配置 ASP 应用程序。
被包含文件的位置
ASP 检测被包含文件的变化(不考虑位置),并当浏览器下一次请求包含该文件的 .asp 文件时插入该文件内容。不过,通常说来,如果包含文件驻留在相同应用程序或 Web 站点内部,则很容易维护这些文件的安全。若需要更高安全性,最好将包含文件放到应用程序内的单独目录中(如 /Includes),并且只应用适当的“执行”(Web 服务器)权限。详细信息,请参阅设置 Web 服务器权限。
要点 默认情况下,对所有文件应用 Web 服务器“读取”权限。不过,要防止用户查看包含文件的内容,可以禁用 Include 目录的“读取”权限。
包含文件:提示和警告
被包含的文件也可以包含其他文件。只要“#include”命令不导致循环,.asp 文件也可以多次包含同一文件。例如,如果文件 First.asp 包含文件 Second.inc,则 Second.inc 不能反过来包含 First.asp。文件也不能包含其自身。ASP 检测这样的循环或嵌套错误,生成错误消息,并停止处理请求的 .asp 文件。
ASP 在执行脚本命令之前包含文件。因此,不能使用脚本命令来建立被包含的文件名。举例来说,因为 ASP 试图在将文件名指派给变量 name 之前执行“#include”命令,所以下面的脚本无法打开文件 Header1.inc。
<!-- 该脚本将失败 -->
<% name=(header1 & ".inc") %>
<!-- #include file="<%= name %>" -->
脚本命令和过程必须完全包含在脚本分隔符 <% 和 %> 内,即 HTML 标签 <SCRIPT> 和 </SCRIPT>,或 HTML 标签 <OBJECT> 和 </OBJECT> 内部。也就是说,不能在包含 .asp 文件中打开脚本分隔符,并在被包含的文件中关闭分隔符;脚本或脚本命令必须是一个完整的单元。例如,下面的脚本将不起作用:
<!-- 该脚本将失败 -->
<%
For i = 1 To n
主文件中的语句
<!-- #include file="header1.inc" -->
Next
%>
但下面的脚本会起作用:
<%
For i = 1 to n
主文件中的语句
%>
<!-- #include file="header1.inc" -->
<% Next %>
注意 如果 ASP 脚本包含的文件中存在包含脚本不需要的大量函数和变量,则这些无用的结构反而会影响性能,并最终降低 Web 应用程序的伸缩性。因此,通常将包含文件分成多个小文件,并且只包含那些服务器端脚本必需的文件,而不是包含那些带有冗余信息的一个或多个大型包含文件。
有时,可能需要使用 HTML <SCRIPT></SCRIPT> 标签来包含服务器端文件。例如,下面的脚本包含服务器可以执行的文件(使用相对路径):
<SCRIPT LANGUAGE="VBScript" RUNAT=SERVER SRC="Utils/datasrt.inc"></SCRIPT>
下表说明通过 SRC 属性使用虚拟或相对路径来包含文件的正确语法:
路径类型 语法 示例:
相对 SRC="Path/Filename" SRC="Utilities/Test.asp"
虚拟 SRC="/Path/Filename" SRC="/MyScripts/Digital.asp"
虚拟 SRC="/Path/Filename" SRC="/RegApps/Process.asp"
父路径会引起“HTTP 500 - 内部服务器错误”
“HTTP 500 - 内部服务器错误”引起的原因有多个,初学者比较常见的就是没有启用让IIS支持父路径的功能。这也是我曾经遇到的问题,在windows2000 server下调试好的程序,到了windows2003 server下便出现“HTTP 500 - 内部服务器错误”,当时百思不得其解。这是由于“启用父路径”会带来安全问题,在windows2003上默认是不选的(见后文中引用的微软网站的文章)。
启用父路径的操作步骤如下:
1、启动IIS,在【默认网站】上右键单击,在弹出的菜单中选择【属性】,如图1所示;
图1
2、单击【属性】菜单后,弹出如图2所示的对话框;
图2
3、在图2中选择【主目录】属性页,然后单击【配置】按钮,弹出如图3所示的对话框;
图3
3、在图3中选择【选项】属性页,然后选中图3中的“启用父路径”复选框。
说明:
“启动会话状态”,表示一个客户如果在设定期限内没有活动,则服务器会自动放弃保存客户端的信息以及其他相关的信息。默认的设置时间为20分钟。
“启用缓冲”,此项必须选上,因为在ASP编程中,很多时候需要利用缓冲输出数据。
“启用父路径”,ASP页面中如果使用到了include file=../header.asp 这样的代码,此项必须选上,../表示上级目录下的header.asp页面,是用相对路径来表示的,如果您的IIS页面设置中的“启用父路径”设置为False的情况下,访问此页面时就会报错,因为当前的IIS设置不允许使用..方式访问父路径,您需要将这个值设定为true。启用父路径指定 ASP 页面是否允许相对于当前目录的路径(使用 ../ 表示法)。如果设置为 true,则此属性可能会造成潜在的安全风险,因为包含路径可以访问应用程序根目录外的重要或机密的文件。如果出于安全考虑不开启父路径,建议路径指向的时候写绝对路径,即完整地址 如http://www.xxx.com/header.asp 。
“默认ASP语言”,表示在进行ASP编程的时候,默认的脚本语言VBScript或JavaScript,可以根据需要设置。也可以在程序中单独庙宇编程脚本。
附:微软网站:AspEnableParentPaths MetaBase 属性应设置为 False
症状
默认情况下启用活动服务器页 (ASP) 代码使用下列父目录批注:
<!-- #include file="../default.htm"-->
原因
MetaBase 中 AspEnableParentPaths 属性指定 ASP 可允许到当前目录相对路径 (我使用 / 表示法)。 这可能会带来安全风险。
增强安全性的环境, 中 AspEnableParentPaths 属性应设置为 False, 但 Internet Information Server 4.0 的默认安装将它设置为 True。
注意 : 禁用 ASP 父路径仅影响 .asp 网页上动态内容执行。 这不会影响服务器能力来引用静态内容使用 HTML 代码 (是否 .htm、 .html 或 .asp 文件中调用它)。 下行 default.asp 中会正确显示图像不返回 ASP 0131 错误, 即使 AspEnableParentPaths = False:
< = img src " 按钮 /images/logo.jpg " >
替代方法
要解决此问题, 执行以下步骤:
1. 在 Microsoft 管理控制台打开 Internet 服务管理器。
2. 右击 Web 服务器问题。
3. 在弹出菜单上选择属性。
4. 单击主目录选项卡。
5. 在应用程序设置框中选择配置。
6. 单击 App 选项选项卡。
7. 清除启用父路径选项。
8. 单击确定两次以返回到 Microsoft 管理控制台。
状态
Microsoft 已经确认这将 IIS 版本 4.0 和 5.0 中有问题。
引用地址:http://support.microsoft.com/kb/q184717/
解决方案:摘录下来的,,学习中....
使用SSI(Server Side Include)指令中的#Include
asp包含文件的写法是这样的:
在html中,写:
<!-- #include file = "FileName" -->
<!-- #include Virtual = "FileName" -->
file和Virtual的区别在于file使用相对路径
而Virtual是你的web站点内虚拟目录的完整虚拟路径
比方:
<!-- #include file = "inc/char.inc" -->
就表示包含当前文件所在的虚拟目录路径下面的inc目录下的char.inc
写成 virtual就可能就需要这么写了
<!-- #include virtual = "/myweb/inc/char.inc" -->
最简单的攻防方法:
在IIS中,有时要启用父路径,但黑客常常利用父路径访问硬盘文件。因此,我使用了一种方法: 先将IIS暂停,启用父路径。(之所以暂停是为了防止操作时遭攻击)然后,在根目录下创建虚拟路径“..”,任意选择一个原目录,并将它的所有权限取消即可。经测试,这样虽然可以用父路径,但若访问根目录的父路径,则会出现“您无权查看该网页”的错误。因为根目录下的父路径会被以为成虚拟路径“..”,而其他路径下则可以用父路径。 此方法在Windows Server 2003, Enterprise Edition, Service Pack 2的自带IIS中测试通过。 参见:
参考资料:
1、http://technet.microsoft.com/zh-cn/library/cc785218(WS.10).aspx
启用父路径
2、/article/7353701.html
未启用父路径而导致的HTTP 500内部服务器错误
3、http://doc.bsdlover.cn/html/php/2009/0531/39461.html
在IIS中启用父路径,不被黑客利用
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 【每日安全资讯】Salon 网站向启用广告屏蔽的用户提供了挖矿的选项
- WoSign 隆重推出:电子商务网站“绿色安全通道”启用计划
- SharePoint 2010 您可能试图从服务器上的安全浏览器访问此网站。请启用脚本然后重新加载此页。
- 介绍一下我的网站(安全矩阵)
- 您可能试图从服务器上的安全浏览器访问此网站。请启用脚本然后重新加载此页。
- 配置介绍:利用AX产品启用DNS Cache和安全防护提高DNS系统的可用性和安全性
- WEB安全的防御--介绍XSS跨网站脚本[wiki]
- Win7/Win2008下IIS配置Asp网站启用父路径的设置方法(已解决)
- 网站在线安全检测介绍
- 网站在线安全检测介绍
- 【安全牛学习笔记】MSsqlL注入取得网站路径最好的方法
- 网站安全防护工作
- 网站安全检测之信息收集类工具
- 技术介绍,对网站建设者有用的技术,对来访人员的统计,像专业的网站统计那样(用session实现)
- Azure中配置网络安全组入站规则让外部网络访问VM中的网站
- Web2.0网站面临安全成本困境
- 网站功能介绍js-Intro.js
- ...提升网站程序开发安全的6大诀窍...
- 如何使用Nikto漏洞扫描工具检测网站安全