ASP攻击是什么意思？ASP呢？

ASP攻击

Microsoft Active Server Pages(ASP)是服务器端脚本编写环境，使用它可以创建和运行动态、交互的Web服务器应用程序。使用ASP可以组合HTML页 、脚本命令和 ActiveX 组件以创建交互的Web页和基于Web的功能强大的应用程序。

现在很多网站特别是电子商务方面的网站，在服务器上大都用ASP来实现。以至于现ASP在网站应用上很普遍。ASP是开发网站应用的快速工具，但是有些网站管理员只看到ASP的快速开发能力，却忽视了ASP安全问题。ASP从一开始就一直受到众多漏洞，后门程序的困扰，包括查看ASP源程序密码验证问题，IIS漏洞等等都一直使ASP网站开发人员心惊肉跳。

asp中防止xss攻击的方法如下：

确保所有输出内容都经过 HTML 编码。

禁止用户提供的文本进入任何 HTML 元素属性字符串。

根据 msdn.microsoft.com/library/3yekbd5b 中的概述，检查 Request.Browser，以阻止应用程序使用 Internet Explorer 6。

了解控件的行为以及其输出是否经过 HTML 编码。如果未经过 HTML 编码，则对进入控件的数据进行编码。

使用 Microsoft 防跨站点脚本库 (AntiXSS) 并将其设置为您的默认 HTML 编码器。

在将 HTML 数据保存到数据库之前，使用 AntiXSS Sanitizer 对象（该库是一个单独的下载文件，将在下文中介绍）调用 GetSafeHtml 或 GetSafeHtmlFragment；不要在保存数据之前对数据进行编码。

对于 Web 窗体，不要在网页中设置 EnableRequestValidation=false。遗憾的是，Web 上的大多数用户组文章都建议在出现错误时禁用该设置。该设置的存在是有原因的，例如，如果向服务器发送回“<X”之类的字符组合，该设置将阻止请求。如果您的控件将 HTML 发送回服务器并收到图 5 所示的错误，那么理想情况下，您应该在将数据发布到服务器之前对数据进行编码。这是 WYSIWYG 控件的常见情形，现今的大多数版本都会在将其 HTML 数据发布回服务器之前对该数据进行正确编码。

对于 ASP.NET MVC 3 应用程序，当您需要将 HTML 发布回模型时，不要使用 ValidateInput(false) 来关闭请求验证。只需向模型属性中添加 [AllowHtml] 即可，如下所示：

public class BlogEntry

{

public int UserId {getset}

[AllowHtml]

public string BlogText {getset}

}

以前我碰到的、

通过URL地址栏 向你的某个页面传参、这个可以在网站的IIS日志中看到

如果是这样、 那只能说明的的网站程序不够严谨、 对传入的参数没有过滤的很干净、

其次是服务器对每个网站目录的权限访问以及用户的权限给的有缺陷、 导致上传来的文件可以提权

想要解决第一个问题就得 好好排查一下自己的程序、

想要解决第二个问题 就把服务器的权限做好、

---