三種禁用FSO的方法 （ZT）

軍情

眾所周知，F(xiàn)ileSystemObject組件的強(qiáng)大功能及破壞性是它屢屢被免費(fèi)主頁(yè)
提供商(那些支持ASP)的禁用的原因，我整理了一下，本來(lái)只找到兩種方法，后來(lái) 被某人一刺激，硬是想到第三種不為人所知的方法，呵呵，也不知道是不是這樣的。

第一種：用RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll(win98路徑)來(lái)注銷(xiāo)該組件。此方法過(guò)于狠毒，屬于同歸于盡的方法，大家都沒(méi)得用，是下招

第二種：修改Progid的值，在ASP里調(diào)用組件的方式通常是 Set 對(duì)象名=Server.CreateObject("rogid"，這時(shí)候我們就可以通過(guò)修改注冊(cè)表中的Progid值從達(dá)到禁用該組件的方法。在 開(kāi)始-運(yùn)行中敲入regedit,然后找到HKEY_CLASSES_ROOT\Scripting.FileSystemObject，這時(shí)候我們就可以更改該P(yáng)rogid的值了，如改成Scripting.FileSystemObject8。這樣在ASP頁(yè)里就這樣調(diào)用了：
<%@ Language=Vbscript%>;
<%
Set Fs=Server.CreateObject("Scripting.FileSystemObject8"
%>;
(如果你前面沒(méi)有調(diào)用過(guò)該組件的話，則無(wú)須重啟，就可以看到效果了，否則請(qǐng)重
啟后看效果。)
這時(shí)候我們看看還是用原來(lái)的調(diào)用方法的結(jié)果：
<%@ Language=Vbscript%>;
<%
Set Fs=Server.CreateObject("Scripting.FileSystemObject"
%>;
這時(shí)候的運(yùn)行結(jié)果為：
服務(wù)器對(duì)象 錯(cuò)誤 'ASP 0177 : 800401f3'

Server.CreateObject 失敗

/aspimage/testfile2.asp, 行3

800401f3
(OK，達(dá)到我們的要求)
該方法由于本人遲了兩步，結(jié)果就讓別人搶著回答了，這樣極大的刺激了我，結(jié)
果就產(chǎn)生了第三種方法。

第三種：細(xì)心的高手們會(huì)想，既然能通過(guò)修改Progid值來(lái)禁用該組件，那Clsid是否也可以來(lái)修改呢？(OK，你想得和我一樣)我們知道，除了CreateObject方法以外，也可以使用一般的<object>;標(biāo)注建立一個(gè)組件，我們可以在ASP里面使用HTML的<object>;標(biāo)注，以便在網(wǎng)頁(yè)中加入一個(gè)組件。方法是：
<object runat=server id=fs1 scope=page progid="Scripting.FileSystemObject">;</object>;
Runat表示是在服務(wù)端執(zhí)行，Scope表示組件的生命周期，可以選用Session,Application或page(表示當(dāng)前頁(yè)面，也可缺省)
這種寫(xiě)法對(duì)我們沒(méi)用，還有一種寫(xiě)法是:
<object runat=server id=fs1 scope=page classid="clsid:clsid的值">;</object>;
我們也可以通過(guò)修改該Clsid的值而禁用該組件，如將注冊(cè)表中HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID的值0D43FE01-F093-11CF-8940-00A0C9054228改成0D43FE01-F093-11CF-8940-00A0C9054229(改了最后面一位)，這時(shí)候的寫(xiě)法為：
<object runat=server id=fs1 scope=page classid="clsid:0D43FE01-F093-11CF-8940-00A0C9054229">;</object>;
看運(yùn)行結(jié)果，沒(méi)問(wèn)題，OK。這時(shí)候我們?cè)儆?lt;object runat=server id=fs1 scope=page classid="clsid:0D43FE01-F093-11CF-8940-00A0C9054228">;</object>;
這時(shí)候就出錯(cuò)了。

新建一用戶：iusr_domain
IIS里設(shè)置對(duì)應(yīng)站點(diǎn)的匿名用戶IUSR_DOMAIN
CACLS： 設(shè)置目錄權(quán)限

這樣FSO可用，但不會(huì)影響別人

t920

偶的Norton已經(jīng)認(rèn)為cmd.asp是個(gè)病毒了，hohoho，怕怕�。�！

軍情

你去玩aspshell，NORTON絕對(duì)當(dāng)它是透明的，HOHO

愣頭清

電腦報(bào)上的

司

好文章哪里都有,問(wèn)題在于你看不看,對(duì)嗎?  

加了精華就是希望大家都能看看,運(yùn)用到^_^

idc

部分網(wǎng)友談到FSO的安全問(wèn)題，特發(fā)一篇相關(guān)資料供大家參考，謝謝

現(xiàn)在絕大多數(shù)的虛擬主機(jī)都禁用了 ASP 的標(biāo)準(zhǔn)組件：FileSystemObject，因?yàn)檫@個(gè)組件為 ASP 提供了強(qiáng)大的文件系統(tǒng)訪問(wèn)能力，可以對(duì)服務(wù)器硬盤(pán)上的任何文件進(jìn)行讀、寫(xiě)、復(fù)制、刪除、改名等操作（當(dāng)然，這是指在使用默認(rèn)設(shè)置的 Windows NT / 2000 下才能做到）。但是禁止此組件后，引起的后果就是所有利用這個(gè)組件的 ASP 將無(wú)法運(yùn)行，無(wú)法滿足客戶的需求。
　　如何既允許 FileSystemObject 組件，又不影響服務(wù)器的安全性（即：不同虛擬主機(jī)用戶之間不能使用該組件讀寫(xiě)別人的文件）呢？這里介紹本人在實(shí)驗(yàn)中獲得的一種方法，下文以 Windows 2000 Server 為例來(lái)說(shuō)明。
　　在服務(wù)器上打開(kāi)資源管理器，用鼠標(biāo)右鍵點(diǎn)擊各個(gè)硬盤(pán)分區(qū)或卷的盤(pán)符，在彈出菜單中選擇“屬性”，選擇“安全”選項(xiàng)卡，此時(shí)就可以看到有哪些帳號(hào)可以訪問(wèn)這個(gè)分區(qū)（卷）及訪問(wèn)權(quán)限。默認(rèn)安裝后，出現(xiàn)的是“Everyone”具有完全控制的權(quán)限。點(diǎn)“添加”，將“Administrators”、“Backup Operators”、“Power Users”、“Users”等幾個(gè)組添加進(jìn)去，并給予“完全控制”或相應(yīng)的權(quán)限，注意，不要給“Guests”組、“IUSR_機(jī)器名”這幾個(gè)帳號(hào)任何權(quán)限。然后將“Everyone”組從列表中刪除，這樣，就只有授權(quán)的組和用戶才能訪問(wèn)此硬盤(pán)分區(qū)了，而 ASP 執(zhí)行時(shí)，是以“IUSR_機(jī)器名”的身份訪問(wèn)硬盤(pán)的，這里沒(méi)給該用戶帳號(hào)權(quán)限，ASP 也就不能讀寫(xiě)硬盤(pán)上的文件了。
　　下面要做的就是給每個(gè)虛擬主機(jī)用戶設(shè)置一個(gè)單獨(dú)的用戶帳號(hào)，然后再給每個(gè)帳號(hào)分配一個(gè)允許其完全控制的目錄。
　　如下圖所示，打開(kāi)“計(jì)算機(jī)管理”→“本地用戶和組”→“用戶”，在右欄中點(diǎn)擊鼠標(biāo)右鍵，在彈出

在彈出的“新用戶”對(duì)話框中根據(jù)實(shí)際需要輸入“用戶名”、“全名”、“描述”、“密碼”、“確認(rèn)密碼”，并將“用戶下次登錄時(shí)須更改密碼”前的對(duì)號(hào)去掉，選中“用戶不能更改密碼”和“密碼永不過(guò)期”。本例是給第一虛擬主機(jī)的用戶建立一個(gè)匿名訪問(wèn) Internet 信息服務(wù)的內(nèi)置帳號(hào)“IUSR_VHOST1”，即：所有客戶端使用 http://xxx.xxx.xxxx/ 訪問(wèn)此虛擬主機(jī)時(shí)，都是以這個(gè)身份來(lái)訪問(wèn)的。輸入完成后點(diǎn)“創(chuàng)建”即可�？梢愿鶕�(jù)實(shí)際需要，創(chuàng)建多個(gè)用戶，創(chuàng)建完畢后點(diǎn)“關(guān)閉”：

現(xiàn)在新建立的用戶已經(jīng)出現(xiàn)在帳號(hào)列表中了，在列表中雙擊該帳號(hào)，以便進(jìn)一步進(jìn)行設(shè)置：

在彈出的“IUSR_VHOST1”（即剛才創(chuàng)建的新帳號(hào)）屬性對(duì)話框中點(diǎn)“隸屬于”選項(xiàng)卡：

剛建立的帳號(hào)默認(rèn)是屬于“Users”組，選中該組，點(diǎn)“刪除”：

現(xiàn)在出現(xiàn)的是如下圖所示，此時(shí)再點(diǎn)“添加”：



在彈出的“選擇 組”對(duì)話框中找到“Guests”，點(diǎn)“添加”，此組就會(huì)出現(xiàn)在下方的文本框中，然后點(diǎn)“確定”：

出現(xiàn)的就是如下圖所示的內(nèi)容，點(diǎn)“確定”關(guān)閉此對(duì)話框：

打開(kāi)“Internet 信息服務(wù)”，開(kāi)始對(duì)虛擬主機(jī)進(jìn)行設(shè)置，本例中的以對(duì)“第一虛擬主機(jī)”設(shè)置為例進(jìn)行說(shuō)明，右擊該主機(jī)名，在彈出的菜單中選擇“屬性”：

彈出一個(gè)“第一虛擬主機(jī) 屬性”的對(duì)話框，從對(duì)話框中可以看到該虛擬主機(jī)用戶的使用的是“F:\VHOST1”這個(gè)文件夾：

暫時(shí)先不管剛才的“第一虛擬主機(jī) 屬性”對(duì)話框，切換到“資源管理器”，找到“F:\VHOST1”這個(gè)文件夾，右擊，選“屬性”→“安全”選項(xiàng)卡，此時(shí)可以看到該文件夾的默認(rèn)安全設(shè)置是“Everyone”完全控制（視不同情況顯示的內(nèi)容不完全一樣），首先將最將下的“允許將來(lái)自父系的可繼承權(quán)限傳播給該對(duì)象”前面的對(duì)號(hào)去掉：

此時(shí)會(huì)彈出如下圖所示的“安全”警告，點(diǎn)“刪除”：

此時(shí)安全選項(xiàng)卡中的所有組和用戶都將被清空（如果沒(méi)有清空，請(qǐng)使用“刪除”將其清空），然后點(diǎn)“添加”按鈕。


將如圖中所示的“Administrator”及在前面所創(chuàng)建的新帳號(hào)“IUSR_VHOST1”添加進(jìn)來(lái)，將給予完全控制的權(quán)限，還可以根據(jù)實(shí)際需要添加其他組或用戶，但一定不要將“Guests”組、“IUSR_機(jī)器名”這些匿名訪問(wèn)的帳號(hào)添加上去！


再切換到前面打開(kāi)的“第一虛擬主機(jī) 屬性”的對(duì)話框，打開(kāi)“目錄安全性”選項(xiàng)卡，點(diǎn)匿名訪問(wèn)和驗(yàn)證控制的“編輯”：

在彈出的“驗(yàn)證方法”對(duì)方框（如下圖所示），點(diǎn)“編輯”：


彈出了“匿名用戶帳號(hào)”，默認(rèn)的就是“IUSR_機(jī)器名”，點(diǎn)“瀏覽”：

在“選擇 用戶”對(duì)話框中找到前面創(chuàng)建的新帳號(hào)“IUSR_VHOST1”，雙擊：

此時(shí)匿名用戶名就改過(guò)來(lái)了，在密碼框中輸入前面創(chuàng)建時(shí)，為該帳號(hào)設(shè)置的密碼：

再確定一遍密碼：

OK，完成了，點(diǎn)確定關(guān)閉這些對(duì)話框。
　　經(jīng)此設(shè)置后，“第一虛擬主機(jī)”的用戶，使用 ASP 的 FileSystemObject 組件也只能訪問(wèn)自己的目錄：F:\VHOST1 下的內(nèi)容，當(dāng)試圖訪問(wèn)其他內(nèi)容時(shí)，會(huì)出現(xiàn)諸如“沒(méi)有權(quán)限”、“硬盤(pán)未準(zhǔn)備好”、“500 服務(wù)器內(nèi)部錯(cuò)誤”等出錯(cuò)提示了。
　　另：如果該用戶需要讀取硬盤(pán)的分區(qū)容量及硬盤(pán)的序列號(hào)，那這樣的設(shè)置將使其無(wú)法讀取。如果要允許其讀取這些和整個(gè)分區(qū)有關(guān)的內(nèi)容，請(qǐng)右鍵點(diǎn)擊該硬盤(pán)的分區(qū)（卷），選擇“屬性”→“安全”，將這個(gè)用戶的帳號(hào)添加到列表中，并至少給予“讀取”權(quán)限。由于該卷下的子目錄都已經(jīng)設(shè)置為“禁止將來(lái)自父系的可繼承權(quán)限傳播給該對(duì)象”，所以不會(huì)影響下面的子目錄的權(quán)限設(shè)置。
----------------------------------------------------------------------------------------------------------------------
聲明：本人發(fā)的部分技術(shù)文檔都是轉(zhuǎn)自其他技術(shù)交流網(wǎng)站，與本人無(wú)關(guān)
不過(guò)沒(méi)有功勞也有苦勞，希望大家呵！

netguest2

可以使用虛擬主機(jī)管理軟件，web在線設(shè)置一個(gè)網(wǎng)站只要30秒

http://web.zccn.net