舉個(gè)很簡(jiǎn)單的例子，在微軟提供的 ASP1.0 的例程里有一個(gè) .asp 文件專門用來(lái)查看其它 .asp 文件的源代碼，該文件為 ASPSamp/Samples/code.asp。如果有人把這個(gè)程序上傳的服務(wù)器，而服務(wù)器端沒(méi)有任何防范措施的話，他就可以很容易地查看他人的程序。
例如 :

　　code.asp?source=/directory/file.asp

　　2、使用的 ACCESS mdb 數(shù)據(jù)庫(kù)可能被人下載一般來(lái)說(shuō)在提供 asp 權(quán)限的免費(fèi)主頁(yè)服務(wù)器上不可能提供代為設(shè)定 DSN 的服務(wù)，因此 asp 程序使用的數(shù)據(jù)庫(kù)通常都局限在使用 mdb 庫(kù)，而 mdb 遠(yuǎn)端數(shù)據(jù)庫(kù)所在的位置是使用我們?cè)诘谑�四期中講到過(guò)的 DSN-less 方法直接在 asp 中指定的，方法如下 :

　 　 < %connstr = "DBQ="+server.mappath("database/source.mdb")+";DefaultDir=;DRIVER={Microsoft Access Driver (*.mdb)};DriverId=25;FIL=MS Access;ImplicitCommitSync=Yes;MaxBufferSize=512;MaxScanRows=8;PageTimeout=5; SafeTransactions=0;Threads=3;UserCommitSync=Yes;"%>
正如前文所言，在這種情況下 mdb 庫(kù)很可能被他人下載，從而造成諸如密碼等的泄露。

　　所以，作為 webmaster 應(yīng)該采取一定的措施，嚴(yán)禁 code.asp 之類的程序（似乎很難辦到 , 但可以定期檢索特征代碼），限制 mdb 的下載。

　　3、來(lái)自強(qiáng)大的 filesystemobject 組件的威脅

　　IIS3、 IIS4 的 ASP 的文件操作都可以通過(guò) filesystemobject 實(shí)現(xiàn)，包括文本文件的讀寫目錄操作、文件的拷貝改名刪除等，但是這個(gè)強(qiáng)大的功能也留下了非常危險(xiǎn)的“后門”。利用 filesystemobjet 可以篡改下載 fat 分區(qū)上