的任何文件。即使是 ntfs 分區(qū)，如果權(quán)限沒有設(shè)定好的話，同樣也能破壞，一不小心你就可能遭受“滅頂之災(zāi)”。遺憾的是很多 webmaster 只知道讓 web 服務(wù)器運行起來，很少對 ntfs 進行權(quán)限設(shè)置，而 NT 目錄權(quán)限的默認(rèn)設(shè)置偏偏安全性又低得可怕。因此，如果你是 Webmaster，作者強烈建議你密切關(guān)注服務(wù)器的設(shè)置，盡量將 web 目錄建在 ntfs 分區(qū)上，目錄不要設(shè)定 everyone full control，即使是是管理員組的成員一般也沒什么必要 full control，只要有讀取、更改權(quán)限就足夠了。
四、 ASP 應(yīng)用程序可能面臨的攻擊過去許多 Internet 上 CGI 寫的留言本或 BBS 是把客戶輸入的留言變?yōu)橐粋�變量，然后再把這個變量插入到顯示留言的 HTML 文件里，因此客戶輸入的文本如要在 HTML 文件里顯示就得符合 HTML 標(biāo)準(zhǔn)，而 CGI 程序里一般都加入了特定的 HTML 語言。當(dāng)客戶輸入內(nèi)容，插入 HTML 文件時，即同時插入到了頭尾 HTML 語句中，如：

　　 < font> 客戶輸入的變量 < /font> 但如果把前后的 HTML 標(biāo)記給敝屏了，就可以做很多事情了。

　　如輸入時打上：

　　 < /font> 符合 HTML 標(biāo)準(zhǔn)的語句 < font> 前后的 < font> 是用來敝屏 CGI 中的 HTML 語句用的。插入到 HTML 文件里的就變成了：

　　 < font>< /font> 符合 HTML 標(biāo)準(zhǔn)的語句 < font>< /font> 由于這樣一個特性，使得寫個 javascript 的死循環(huán)變得非常容易，只要在輸入框中輸入：

　　< a href="URL" onMouseover="while(1){window.close('/')}"> 或 < a herf="URL" onMousever="while(ture){window.close('/')}"> 那么就能讓其他查看該留言的客戶的瀏覽器因死循環(huán)而死掉。 ASP 開發(fā)的程序同樣可能存在這個問題，因此當(dāng)你用 asp 編寫類似程序時應(yīng)該做好對此類操作的防范，譬如可以寫一段程序判斷客戶端的輸入，并屏蔽掉所有的 HTML、 Javascript 語句。