星外飞客

aspx功能越强大，对主机安全性威胁就越大，这里举例几个比较少见的东西：

1、WMI枚举、关闭{需要权限}进程，这个对象在脚本里很容易调用

2、System.Diagnostics的Process.GetProcesses可获取进程信息

3、操纵IIS 用DirectoryServices类，可以枚举IIS网站信息

aspx个人感觉很鸡肋，做限制很容易出问题，倒不如php来得舒服，下面贴个简单防范：

1、WMI对象禁用，可以关闭相关服务，2003系统，推荐关闭以下服务：

2、Diagnostics类process，可用gacutil.exe进行卸载组件

3、DirectoryServices类DirectoryEntry，可用gacutil.exe 进行.net组件卸载

对asp.net不熟悉，可能描述不太准确，但大体方法就这些，大家不妨参考下。

参考：.net  1.1库目录
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322