Aspx漏洞总结

第一部分,.NET项目当中的dll都可以进行反编译:

在java中有很多jar包,而在.NET框架中的bin中对应有很多DLL文件,bin下面都是可执行文件,这些文件都是很多代码封装的,想要查看源码,都需要通过反编译的方式。

区分:.NET ASPX ASP

  1. ASP 作为技术/框架:
    ASP 是一种服务器端技术或框架,用于创建动态的、交互式的 Web 页面。它允许在服务器上执行脚本代码以生成动态内容。使用脚本语言(如 VBScript 或 JScript),开发者可以在 HTML 中嵌入服务器端代码,以便在运行时生成页面。ASP 是一种早期的服务器端技术,但在随后的发展中被 ASP.NET 所取代。因此,ASP 作为技术或框架已经过时。
  2. ASPX是.NET框架中页面文件的扩展名,只是.NET的一部分文件的扩展名,.NET是一种框架,通常使用C#所写,C#和Java的语法非常相像,具体原因有如下:
    1. 面向对象设计: C# 和 Java 都采用了面向对象的设计理念,包括类、对象、继承、封装和多态等概念。这使得两者的基本结构和语法在概念上非常相似。
    2. C# 的设计者受到了 Java 的启发: C# 是由微软设计的,而 C# 的设计者中包括了一些曾在 Sun 公司工作并参与 Java 开发的人员。这些设计者在设计 C# 时可能受到了 Java 在企业级应用和面向对象编程方面的成功经验的启发。
      3 .跨平台竞争: 当 C# 设计时,Java 已经在跨平台开发方面取得了成功。为了与 Java 竞争,C# 也在一定程度上支持跨平台开发,尤其是通过 .NET Core 平台。
    3. 开发者易用性: 微软可能希望吸引那些已经熟悉 Java 的开发者,因此在语法和结构上保持一些相似性,使得开发者更容易学习和迁移。

.NET的数量和PHP差不多,都在逐渐减少,而Java在逐渐扩大范围。
推荐使用的反编译工具ILSpy,使用方法,直接将dll文件拖进去即可查看源代码,以下以.NET的dll文件为例:
在这里插入图片描述
具体来看一下aspx文件和dll文件的关系:
首先随便打开一个aspx文件:
在这里插入图片描述
再来反编译打开dll文件,为啥子没有这个文件?这回是真不知道,按理来说,引用了这个文件,应该就是有的呀???有知道的大佬解答一下?

第二部分,web.config错误调试,容易造成信息泄露:
由于.net是微软开发的,基本上都是存在于windows上面,中间件基本上都是IIS,打开看到用.NET搭建的网站,里面常常会看到一个叫web.config 的文件,这个文件里面有个关键的地方:在这里插入图片描述
这个指的是自定义错误,这里的mode有三种状态,修改之后网站的状态也不一样。
如果开启,当页面报错的时候,报错是你指定的报错信息;如果关闭,当页面报错的时候,就是网站定义的报错信息。这里可能在报错信息中造成一定的信息泄露。变成自己设置的报错信息,会比较安全。

第三部分:aspx经常出现的问题就是未授权访问,简而言之,就是没有登录/验证就可以看到一些页面。分为前台(没有登录,看到了登录后的界面)和后台(管理员界面),用脚趾头想一下,也是后面的危害更大。

用户验证的过程:

  1. 编写一个专门用来判断用户身份的逻辑代码;
  2. 其他需要判断用户身份的功能性代码进行调用该逻辑代码;

找未授权访问,就是:

  1. 要找那些没有包含判断用户身份逻辑代码的部分
  2. 找能绕过验证用户身份代码的方法

所以说,如果我们访问一个aspx的页面,发现它不存在未授权访问,还可以拿到源码的话,我们就可能跟踪逻辑,看看是否里面调用了判断用户身份的逻辑代码以及这段代码是否存在问题。有时候,这些代码不一定包含在上一层中,有可能是包含在上上层中,这个就得一直翻了,推荐使用idea进行使用,直接按住crtl的同时,点击包含的包,就可以进入到对应的代码中(涉及到代码审计)

最后分享两个常见搭配:
服务漏洞+web漏洞+操作系统漏洞+中间件(数据库)漏洞的组合方式
iis+asp+windows+access
iis+aspx+windows+sqlserver
数据库在两个里不一定是固定的,但是前三个搭配是一定的,iis的问题在asp和aspx都会受到影响。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/642978.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Microsoft Remote Desktop for Mac(远程桌面连接)激活版

Microsoft Remote Desktop是一款由微软开发的远程桌面连接工具,它允许用户从另一台计算机或移动设备远程连接到Windows桌面或服务器。 以下是该软件的一些主要特点和功能: 跨平台支持:Microsoft Remote Desktop支持Windows、macOS、iOS和Andr…

【Linux】Vagrant搭建Linux环境

1. Vagrant Vagrant是一个基于Ruby的工具,用于创建和部署虚拟化开发环境。它使用Oracle的开源VirtualBox虚拟化系统,使用 Chef创建自动化虚拟环境。 1.1 安装Vagrant 从Vagrant官网下载安装包,执行安装。 1.2 安装VirtualBox 从官网下载…

【K8S 云原生】K8S之HPA自动扩缩容、命名空间资源限制、容器抓包

目录 一、HPA概述 1、概念 2、两个重要的组件: 3、HPA的规则: 4、pod的副本数扩容有两种方式: 4.1、手动扩缩容,修改副本数: 4.2、自动扩缩容HPA 二、实验部署: 1、部署HPA 2、实现自动扩缩容 三…

智慧博物馆信息化系统建设(2)

物联网智能感知综合平台 物联网感知综合平台是综合物联网应用共性特点,贯穿感知、传输、应用服务三层的共性功能模块、协议和平台等的总称。 “感知综合平台基础标准+应用子集标准”体系已被ISO/IEC JTC1 国际标准化组织和国家物联网基础工作组认可,“物联网感知综合平台+应…

Pandas--简介(1)

Pandas 简介 Pandas 是一个开源的数据分析和数据处理库,它是基于 Python 编程语言的。Pandas 提供了易于使用的数据结构和数据分析工具,特别适用于处理结构化数据,如表格型数据(类似于Excel表格)。Pandas 是数据科学和…

GPTBots:利用FlowBot中的卡片和表单信息,提供丰富的客服体验

在当今的数字化时代,客户服务的形式和体验正在经历着前所未有的变革。传统的文字消息方式已经无法满足现代用户对于服务体验的多元化需求。那么,如何才能在这个信息爆炸的时代,让我们的服务方式更加个性化、多样化,从而提供更丰富…

博途1200PLC脉冲轴绝对定位往复运动控制FB(完整SCL源代码)

三菱PLC绝对定位指令往复运动控制请参考下面文章链接: https://rxxw-control.blog.csdn.net/article/details/135570157https://rxxw-control.blog.csdn.net/article/details/135570157SMART PLC绝对定位往复运动控制 https://rxxw-control.blog.csdn.net/article/details/1…

VBA经典应用69例:基于文本条件的一般筛选及条件OR筛选

《VBA经典应用69例》(版权10178981),是我推出的第九套教程,教程是专门针对初级、中级学员在学习VBA过程中可能遇到的案例展开,这套教程案例众多,紧贴“实战”,并做“战术总结”,以便…

JAVA工程中引用本地jar的3种常用方式,你用过哪种?

文章目录 前言1. 第1种方式2. 第2种方式3. 第3种方式 前言 实际项目过程中咱们经常会碰到需要本地引用jar包到java工程中的场景,本文就介绍一下遇到此场景时如何在IDEA中导入本地jar包到工程中的3种方式,简单却很常用。 1. 第1种方式 IDEA -> File …

Linux中NFS服务器的搭建和安装

1.介绍: 网络文件系统即将本地系统放在网络上某一个位置的系统,基于UDP/IP使用nfs能够在不同计算机之间通过网络进行文件共享,能使使用者访问网络上其他计算机中的文件就像在访问自己的计算机一样,也就是说放在一个开发板上&#…

Mysql的骚操作说明

Mysql的常规操作 记录些不常用,但是很实用的操作,旨在在MySQL语言能解决的批量操作的问题,不动用其他动态或静态语言的辅助。 1、FROM_UNIXTIME 时间戳转时间格式 select scode,sid,gender,type,FROM_UNIXTIME(report_time) as report_time,FROM_UNIXTIME(add_time) as add…

[windows]win11任务管理器性能中N卡GPU看不到cuda进程Copy选项找不到cuda选项

正常情况下Copy里面有cuda选项,如图 对于不懂技术的人来说,有个误区,就是上图没有显示cuda选项就一定是cuda不能用吗?显然不是,这个选项只是方便在资源管理器展示cuda使用情况。如果在windows11你设置了一些东西则可能…

短视频矩阵系统软件源头开发+无人直播源头开发

首先:我了解您想要开发短视频矩阵系统和无人直播系统的需求。我们是一手源头自研开发,我们采用的是php7.40升级版开发模式 这些系统对于许多企业和个人来说都非常重要,因为它们可以帮助他们更好地管理他们的内容制作和营销活动。 开发这样的…

VUE---插槽

一、插槽的作用&场景 1、在封装组件的时候&#xff0c;将可变的结构设计为插槽&#xff08;<slot></slot>&#xff09; 2、使用上述组件的时候&#xff0c;可以按需为插槽提供自定义的结构&#xff0c;以达到复用组件且高度自定的效果 二、基本语法 1、组件内…

帝国cms使用手机号单篇付费下载的关键代码实现以及代码引用

#小李子9479# #帝国cms# 1。从服务器下载文件php代码 2。前端集成 a)需要一个下载的链接&#xff0c;只要包含button_down这个class即可&#xff0c;即可以为<div class"button_down" data-classid"[!--classid--]" data-infoid"[!--id--]"…

【DeepLearning-1】 注意力机制(Attention Mechanism)

1.1注意力机制的基本原理&#xff1a; 计算注意力权重&#xff1a; 注意力权重是通过计算输入数据中各个部分之间的相关性来得到的。这些权重表示在给定上下文下&#xff0c;数据的某个部分相对于其他部分的重要性。 加权求和&#xff1a; 使用这些注意力权重对输入数据进行加权…

代码随想录算法训练营29期|day28 任务以及具体安排

93.复原IP地址 class Solution {List<String> result new ArrayList<>();public List<String> restoreIpAddresses(String s) {StringBuilder sb new StringBuilder(s);backTracking(sb, 0, 0);return result;}private void backTracking(StringBuilder s,…

Linux中静态库和动态库的使用

库的概念 介绍&#xff1a; 库是一个二进制文件&#xff0c;包含的代码可被程序调用 标准C库、数学库、线程库… 库有源码&#xff0c;可下载后编译;也可以直接安装二进制包 位置一般放在&#xff1a;/lib /usr/lib库的知识 库是事先编译好的&#xff0c;可以复用的代码 在os上…

输入某年某月某日,判断这一天是这一年的第几天?(Java)

思路&#xff1a; 1&#xff0c;分别定义三个变量来接收 年 月 日 2&#xff0c;累加已经过完的月份的天数 日期 3&#xff0c;二月份的天数要根据是否是闰年&#xff0c;随之改变 1 3 5 7 8 10 12 ---> 31天 4 6 9 11 ---> 30天 2 ---> 闰…

== 和 equals:对象相等性比较的细微差别

和 equals&#xff1a;对象相等性比较的细微差别 既要脚踏实地于现实生活&#xff0c;又要不时跳出现实到理想的高台上张望一眼。在精神世界里建立起一套丰满的体系&#xff0c;引领我们不迷失不懈怠。待我们一觉醒来&#xff0c;跌落在现实中的时候&#xff0c;可以毫无怨言地…