1. iis3/pws的漏洞
　　Win95+pws上運行ASP程序，只需在瀏覽器地址欄內(nèi)多加一個小數(shù)點ASP程序就會被下載下來。



　　2. iis4的漏洞
　　iis4一個廣為人知的漏洞是:$DATA，就是ASP的URL后多加這幾個字符后，代碼也可以被看到，使用IE的view source就能看到ASP代碼。Win98+PWS4沒有這個問題。

　　解決這個問題的辦法有幾種：一是將目錄設(shè)置為不可讀（ASP仍能執(zhí)行），這樣html文件就不能放在這個目錄下，否則html不能瀏覽；二是安裝微軟提供的補(bǔ)丁程序；三是在服務(wù)器上安裝ie4.01sp1。



　　3. 支持ASP的免費主頁面臨的問題
　　ASP1.0的例子里有一個文件用來查看ASP源代碼，/ASPSamp/Samples/code.asp。如果有人把這個程序上傳到網(wǎng)站上去了，他就可以查看別人的程序了。

　　既然ASP程序可以被人得到，別人就能輕而易舉地知道你的數(shù)據(jù)庫放在何處，網(wǎng)站的ACCESS數(shù)據(jù)庫可能被人下載。



　　4.來自filesystemobject的威脅
　　iis4的ASP的文件操作可以通過file system object實現(xiàn)，包括文本文件的讀寫、目錄操作、文件的拷貝改名刪除等。利用filesystemobjet可以篡改下載FAT分區(qū)上的任何文件，即使是ntfs，如果權(quán)限沒有設(shè)定好的話，同樣也能破壞 。網(wǎng)絡(luò)管理員應(yīng)該將web目錄建在ntfs分區(qū)上，非web目錄不要使用完全控制，而應(yīng)該是網(wǎng)絡(luò)管理員才可以完全控制。