首页 » 网络文摘 » 浏览内容

巧妙在Global.asa文件里使用的.htaccess小技巧

190 0 发表评论

众所周知:黑客会利用Apache配置的.htaccess文件去覆盖默认的WEB网站的配置,功能大概有以下几点:

在IIS/ASP的环境中,有个Global.asa文件,这个文件包含了所有asp脚本的共同声明,放在某个ASP应用的根目录。

如果该文件存在,该ASP应用会自动包含这个文件。

空白行
黑客也喜欢在Global.asa中使用各种.htaccess技巧,比如隐藏恶意内容,之后就会往里面注入大量的空白行。根据Windows浏览文本的特性,粗心的管理还是难以发现的。

global-asa_

文件隐藏属性
.htaccess还有另一个属性,那就是它们都是隐藏的。

这意味着部分管理员可能不知道他们的存在,除非他们使用显示隐藏文件选项的FTP客户端,或者使用ls -a这类列文件命令参数。

尽管Global.asa文件也不方便自动在Windows中隐藏,但黑客们仍然有其他办法。
下面的代码节选自创建恶意Global.asa的ASP后门:

请注意文件里的“1+2+4”,这里解释下:
1 = 只读文件,网站应用可以读取文件不能写或者删除。
2 = 隐藏文件,不包含在普通文件列表里。
4 = 系统文件,系统进行部分调用,或者特殊专用。

目前市面上很多网马都集成了Global.asa甚至很多朋友还不知道如何利用.希望大家看到这篇文章对你有所帮助!

标签:

评论 共 0 条 (RSS 2.0) 发表 评论

  1. 暂无评论,快来抢沙发!

发表评论

  •   没有头像?

关注我们,实时联系

通知公告">更多...

♥如果喜欢本站可以直接点击订阅博客
♥点击此加入晓残博客会员群加入扣群
♥本站免费提供加密解密服务点击解密
♥伙伴们喜欢本站赏个好评呗

关注微信

有偿服务

博客统计

  • 日志总数:475 篇
  • 评论数目:1466 条
  • 标签总数:40 个
  • 页面总数:8 个
  • 分类总数:17 个
  • 友链总数:24 个
  • 建站日期:2011-02-13
  • 运行天数:2120 天
  • 最后更新:2016-12-3

订阅博客