ASP漏洞集-給你的FileSystemObject對(duì)象加把鎖

　　現(xiàn)在國(guó)內(nèi)提供支持ＡＳＰ的免費(fèi)空間越來越多了，對(duì)于ＡＳＰ愛好者來說無疑是個(gè)好的勢(shì)頭，但是很多提供免費(fèi)ＡＳＰ空間的站點(diǎn)都沒有對(duì)FileSystemObject這個(gè)對(duì)
象做出任何限制，這也就導(dǎo)致了安全問題。比如，今年愚人節(jié)“東莞視窗”所有的主頁都遭到了黑客的攻擊，其實(shí)做這件事情很簡(jiǎn)單，就是使用FileSystemObject對(duì)象，
具體的程序就不再討論了。而另外一個(gè)比較有名的提供ＡＳＰ空間的站點(diǎn)“網(wǎng)界”同樣也存在這個(gè)安全漏洞，很容易遭到攻擊。不僅僅是這些提供免費(fèi)空間的站點(diǎn)存在這個(gè)
安全漏洞，很多國(guó)內(nèi)的虛擬主機(jī)提供商同樣也存在這個(gè)安全隱患。這樣給商業(yè)用戶帶來的危害就很大了。
　　那么我們?nèi)绾尾拍芟拗朴脩羰褂肍ileSystemObject對(duì)象呢？一種極端的做法是完全反注冊(cè)掉提供FileSystemObject對(duì)象的那個(gè)組件，也就是Scrrun.dll。具體的方
法如下：
　　在ＭＳ－ＤＯＳ狀態(tài)下面鍵入：
Regsvr32 /u c:\windows\system\scrrun.dll
（注意：在實(shí)際操作的時(shí)候要更改成為你本地的實(shí)際路徑）
　　但是，顯而易見，如果這樣做，那么包括站點(diǎn)系統(tǒng)管理員在內(nèi)的任何人都將不可以使用FileSystemObject對(duì)象了，這其實(shí)并不是站點(diǎn)管理人員想要得到的結(jié)果，畢竟
我們使用這個(gè)對(duì)象可以實(shí)現(xiàn)方便的在線站臺(tái)管理，如果連系統(tǒng)管理員都沒法使用了，那可就得不償失了，但是不禁止這個(gè)危險(xiǎn)的對(duì)象又會(huì)給自己的站點(diǎn)帶來安全漏洞。那么
有沒有兩全其美的方法呢？有！具體方法如下：
　　我們可以做到禁止他人非法使用FileSystemObject對(duì)象,但是我們自己仍然可以使用這個(gè)對(duì)象.
　　方法如下:
　　查找注冊(cè)表中
　 HKEY_CLASSES_ROOT\Scripting.FileSystemObject 鍵值
　　將其更改成為你想要的字符串(右鍵-->"重命名"),比如更改成為
　 HKEY_CLASSES_ROOT\Scripting.FileSystemObject2
　　這樣,在ASP就必須這樣引用這個(gè)對(duì)象了:
　 Set fso = CreateObject("Scripting.FileSystemObject2")
　　而不能使用:
　 Set fso = CreateObject("Scripting.FileSystemObject")
　　如果你使用通常的方法來調(diào)用FileSystemObject對(duì)象就會(huì)無法使用了。
　　呵呵，只要你不告訴別人這個(gè)更改過的對(duì)象名稱，其他人是無法使用FileSystemObject對(duì)象的。這樣，作為站點(diǎn)管理者我們就杜絕了他人非法使用FileSystemObject
對(duì)象，而我們自己仍然可以使用這個(gè)對(duì)象來方便的實(shí)現(xiàn)網(wǎng)站在線管理等等功能了！
（以上方法在Win98+PWS以及WinNT4+IIS4環(huán)境下測(cè)試通過）