件的源代碼。可能你會(huì)覺得看到源代碼并沒有什么大礙，如果作為 webmaster 的你這么想就大錯(cuò)特錯(cuò)了。譬如，如果 asp 程序員將站點(diǎn)的登陸密碼直接寫在 asp 里，那么一旦源碼被發(fā)現(xiàn)，他人就可以很容易的進(jìn)入本不該被看到的頁面，我就曾經(jīng)利用這個(gè)方法免費(fèi)成為了一個(gè)收費(fèi)網(wǎng)站的成員（大家可別揭發(fā)我哦�。�，而且很 多數(shù)據(jù)庫(kù)的連接用戶名和密碼也都是直接寫在 asp 里，一旦被發(fā)現(xiàn)，如果你的數(shù)據(jù)庫(kù)允許遠(yuǎn)程訪問而且沒有設(shè)防的話就相當(dāng)危險(xiǎn)了。在一些用 asp 開發(fā)的 bbs 程序中，往往使用的是 access mdb 庫(kù)，如果 mdb 庫(kù)存放的路徑被獲知，數(shù)據(jù)庫(kù)就很有可能被他人下載，加之如果數(shù)據(jù)庫(kù)里含有的密碼不加密，那就非常危險(xiǎn)了，獲取密碼的人如果有意進(jìn)行惡意破壞，他只需要以 admin 身份登陸刪除所有 bbs 里的帖子，就夠你嗆的了。下面列出了目前已經(jīng)發(fā)現(xiàn)的一些漏洞，希望大家提高警惕一、經(jīng)過實(shí)驗(yàn)我們發(fā)現(xiàn)， win95+pws 上運(yùn)行 ASP 程序，只須簡(jiǎn)單地在瀏覽器地址欄的 asp 文件名后多加一個(gè)小數(shù)點(diǎn) ASP 程序就會(huì)被下載下來。 IIS3 也存在同樣的問題，如果你目前還在使用 IIS3 一定要測(cè)試一下。
二、 iis2、 iis3、 iis4 的一個(gè)廣為人知的漏洞就是 ::$DATA，通過它使用 ie 的 view source 或 netscape 直接訪問該 asp 文件就能輕而易舉地看到 asp 代碼。 win98+pws4 不存在這個(gè)漏洞。

　　究竟是什么原因造成了這種可怕的漏洞呢？究其根源其實(shí)是 Windows NT 特有的文件系統(tǒng)在做怪。有一點(diǎn)常識(shí)的人都知道在 NT 提供了一種完全不同于 FAT 的文件系統(tǒng)： NTFS，這種被稱之為新技術(shù)文件系統(tǒng)的技術(shù)使得 NT 具有了較高的安全機(jī)制，但也正是因?yàn)樗�而產(chǎn)生了不少令人頭痛的隱患。大家可能不知道， NTFS 支持包含在一個(gè)文件中的多數(shù)據(jù)流，而這個(gè)包含了所有內(nèi)容的主數(shù)據(jù)流被稱之為&l