在 WooYun 看到个帖子,内容如下:
标题:关于asp
作者:Sunshine (︶︿︶/ / //! 。! o∩_∩o) | 2012-10-06 13:50
内容:可能都有这样的感觉,jsp最安全,php也比较安全,aspx也不错,asp他妈最不安全。(可能有人会不同意,但是,差不多就行了)。安全永远都只是相对的。如果你拿到了一个asp的webshell,你会像拿到一个jsp的shell那样happy吗?我想你不会,因为很多asp的webshell权限太低了,提全几乎没可能。可是jsp就不一样了,一般的webshell提权神马的,要多容易有多容易。国内可能普遍觉得asp不安全,说实话吧,我也这样觉得,我看到那些asp的站觉得很不屑。不过后来我就改变了这种想法。有好多黑客站点就是asp的,国内好多小企业网站也都是asp+access,说到access,功能虽然不强大,但是正是因为功能不强大,危险也就不多。各位sql注入的时候也知道,access的注入点是比较蛋疼的。所以我觉得,asp简单易用,asp并不过时,相反,如果我们能继续研究,它可能成为最受欢迎的网页程序语言!都来吐槽吧………
网友评论:
Seay (http://www.cnseay.com/) | 2012-10-06 14:32
ASPX开发最简单,0A之类很多都是用的ASPX,关于安全方面来看,PHP安全最难控制,相对来说JSP和ASPX好控制点(封装的好),数据库的话这些语言也可以用ACCESS,ASP只要基本注入XSS,权限这些控制的好,也是难拿的(安全是一个整体)
Sunshine (︶︿︶/ / //! 。! o∩_∩o) | 2012-10-06 15:21
所以我觉得asp还有很大活力@Seay
Fate (popok木JJ!![just for fun]) | 2012-10-06 15:45
安全做好了都NB....
Seay (http://www.cnseay.com/) | 2012-10-06 16:23
@Sunshine 但是国内现在ASP慢慢在消逝了
VIP (擦~亲爱的z7y)?(y7z的爱亲~擦) | 2012-10-06 17:43
貌似想到了asp我就想到了各种注入,各种漏洞。。。
笔墨 (这世界笑了,于是你合群的一起笑了.) | 2012-10-06 17:51
国内这些asp的cms做的太蛋疼了。。。各种洞各种bug不断,让很多人觉得asp不安全
其实,关于这类问题(各种编程语言的好坏、优缺点),程序员们已经讨论了数年了,恐怕都有无数次了吧,每次都要争个高低上下……
关于这个问题,早就想写一篇文章说说了,这次就简单的说点吧……
编程语言只是实现程序功能的工具,一个程序是一尊精美的雕像,c 是小刀,c+ 是锤子,结果看的是雕像,并不是看你用什么工具。
没有思想的程序员很可怕:软件编程走火入魔之:程序对人身心的残忍摧残
(底下只是用脚本语言举例,应用程序的编程语言同理……)
编程语言只是实现程序功能的工具,安不安全取决于程序员的逻辑思维以及安全意识。
一个形象的比喻:
一套系统是一尊完美的雕像,至于你是用锤子(PHP)、凿子(Aspx)、刀子(Asp)还是电锯(Jsp),这些只是雕刻的过程,而我们关注的是完工后的作品。
楼上很多朋友提到的:各种注入、各种漏洞,等不安全因素,我想问一下:这和编程语言有关系吗?如果程序员本身都不注重安全,无论你用什么脚本语言写,都是一样的(PHP就没有注入、没有漏洞了?)……
正确的选择编程语言其实很简单,这取决于你想雕刻什么雕像了,雕像多大?要多精致?(Blog、CMS?)然后选择正确的雕刻工具,或者多种工具结合使用,这才能做出完美的作品。
编程语言只是工具,至于你怎么使用、做出来的作品好不好,那是你自己的事了……
如果你本身就不会使用工具、雕刻手法差,导致作品丑,那你为什么要骂工具呢?(经常看到一堆狗血程序员,自己做不好,却要来骂编程语言,还非要在各种语言中争出来个高低上下……)
至于为什么 Asp 用户逐渐变少了,而PHP用户变多了,这其中很大一部分的原因在于:盲目的随大流,看人家用PHP,自己也跑去学,盲目跟风(国人这点很严重),如果再出来个 PPP 语言,你是不是又要去学一遍呢?
Asp 的消亡也和他自身原因有关,解译引擎不开源(毕竟是微软搞出来的东西),无法移植或不能很好的支持多种操作系统,再加上它本身功能“不强大”(1996年诞生,到现在毕竟16年了),不能满足现在大型网站的需求,跟不上时代的脚步,自然也会逐渐淘汰……
最后还是回归到最开始的话题了,做什么样的雕像,选什么样的工具!