19、ASP主页.inc文件泄露问题

　　漏洞描述：

　　受影响的版本:任何提供ASP服务的系统

　　远程:YES / 本地:YES

　　内容摘要:

　　当存在asp的主页正在制作并没有进行最后调试完成以前，可以被某些搜索引擎机动追加为搜索对象，如果这时候有人利用搜索

引擎对这些网页进行查找，会得到有关文件的定位，并能在浏览器中察看到数据库地点和结构的细节揭示完整的源代码。

　　具体操作过程是：

- 利用搜索引擎查找包含+"Microsoft VBScript 运行时刻错误执行搜索" +".inc ，" 的关键字

- 搜索引擎会自动查找包含asp的包含文件(.inc)并显示给用户

- 利用浏览器观看包含文件的源代码，其中可能会有某些敏感信息

　　漏洞的利用:

例子:

- http://shopping.altavista.com/inc/lib/prep.lib

暴露数据库连接和性质, 资源地点, 小甜饼逻辑,服务器 IP 地址

- http://www.justshop.com/SFLib/ship.inc

暴露数据库性质

- http://www.bbclub.com:8013/includes/general.inc

暴露 cobranding

- http://www.salest.com/corporate/admin/include/jobs.inc

暴露 datafile 地点和结构

- http://www.bjsbabes.com/SFLib/design.inc

包括数据库结构为 StoreFront 2000 暴露源代码

- http://www.ffg.com/scripts/IsSearchEngine.inc

暴露搜索引擎记录文件

- http://www.wcastl.com/include/functions.inc

暴露成员电子邮件地址

- http://www.wcastl.com/flat/comments.txt

暴露成员私人的注释文件

- http://www.traveler.net/two/cookies.inc

暴露 cookie 逻辑

　　解决方案:

　　- 搜索引擎应该不索引有 asp 运行时刻错误的页

　　- 程序员应该在网页发布前对其进行彻底的调试

　　- 安全专家需要固定 asp 包含文件以便外部的用户不能看他们

　　asp 新闻组、站点提供两个解决方案对这个漏洞进行修正，首先对 .inc 文件内容进行加密，其次也可以使用 .asp 文件代

替 .inc 文件使用户无法从浏览器直接观看文件的源代码。.inc 文件的文件名不用使用系统默认的或者有特殊含义容易被用户猜

测到的，尽量使用无规则的英文字母。