ASP网站漏洞解析及黑客入侵防范方法
作者:pizzaviat 来源:第八军团 发布时间:2007-09-26 12:44:00
如何更好的达到防范黑客攻击,本人提一下个人意见!第一,免费程序不要真的就免费用,既然你可以共享原码,那么攻击者一样可以分析代码。如果在细节上注意防范,那样你站点的安全性就大大的提高了。即使出现了SQL Injection这样的漏洞,攻击者也不可能马上拿下你的站点。
由于ASP的方便易用,越来越多的网站后台程序都使用ASP脚本语言。但是, 由于ASP本身存在一些安全漏洞,稍不小心就会给黑客提供可乘之机。事实上,安全不仅是网管的事,编程人员也必须在某些安全细节上注意,养成良好的安全习惯,否则会给自己的网站带来巨大的安全隐患。目前,大多数网站上的ASP程序有这样那样的安全漏洞,但如果编写程序的时候注意一点的话,还是可以避免的。
1、用户名与口令被破解
攻击原理:用户名与口令,往往是黑客们最感兴趣的东西,如果被通过某种方式看到源代码,后果是严重的。
防范技巧:涉及用户名与口令的程序最好封装在服务器端,尽量少在ASP文件里出现,涉及与数据库连接的用户名与口令应给予最小的权限。出现次数多的用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及与数据库连接,在理想状态下只给它以执行存储过程的权限,千万不要直接给予该用户修改、插入、删除记录的权限。
2、验证被绕过
攻击原理:现在需要经过验证的ASP程序大多是在页面头部加一个判断语句,但这还不够,有可能被黑客绕过验证直接进入。
防范技巧:需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。
3、inc文件泄露问题
攻击原理:当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。
防范技巧:程序员应该在网页发布前对它进行彻底的调试;安全专家则需要加固ASP文件以便外部的用户不能看到它们。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件使用户无法从浏览器直接观看文件的源代码。inc文件的文件名不要使用系统默认的或者有特殊含义容易被用户猜测到的名称,尽量使用无规则的英文字母。
4、自动备份被下载
攻击原理:在有些编辑ASP程序的工具中,当创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,比如:UltraEdit就会备份一个.bak文件,如你创建或者修改了some.asp,编辑器会自动生成一个叫some.asp.bak文件,如果你没有删除这个bak文件,攻击者可以直接下载some.asp.bak文件,这样some.asp的源程序就会被下载。
防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以BAK为后缀的文件要特别小心。
猜你喜欢
- 10月22日消息,金山软件今天宣布,旗下3D武侠网游《剑侠情缘网络版叁》(简称《剑网3》)将于今日掀起公测后最大规模的内容更新,届时50级到
- 从2008年起,我开始了网络编辑的生涯,一开始确实不明白网站这些事情是做什么的,但是我慢慢对网站运营也熟悉起来。我觉得做网站和心态有很大的关
- 每一个人的建站经验与任何一个人都是不同的,这取决于网站的定位与性质。但是,很多关键的步骤都大同小异,只是所花的时间长短不一而已。
- 时间过得也真快,一转眼我的网络推广博客上线已经整整三个月了,在这三个月里面体会蛮多的,从上线后短时间内被百度谷歌收录,并且几个关键字也取得好
- 今天来介绍Godaddy主机用户该如何设置301重定向,这个问题很重要的,一定要认真看哦~假如你重新设计了网站上的任何网页,但还想维持目前搜
- godaddy空间控制面板中英文对照,方便英文不大行的站长操作godaddy的空间Account Summary(帐号信息总览)----Do
- 11月13日,据国外媒体报道,Google曾于今年7月宣布了Chrome操作系统项目,而现在有可靠消息称,Google将于一周内发布该操作系
- 素有“中国博客之父”之誉的方兴东最近放言“单纯写作的博客已经落伍”,而他也承认随着业务调整,他的博客网将重心摆在社区交友上,也就是国内外现在
- 北京时间11月7日上午消息,据国外媒体报道,市场研究公司comScore Media Metrix今天发表报告称,9月份微软网站访问时长高于
- Godaddy支持的付款方式有: 支付宝,信用卡,Paypal,支票,gift card.在Godaddy购买商品使用的Paypal必须是添
- 本文通过剖析邮件系统组成、各部分选型、系统架构分析及系统安全设置,比较完整地覆盖了一个邮件系统设计的全部过程,是企业选择或开发邮件系统的参考
- 做网络推广几年了,天天在几个站长站潜水,文章天天看但基本没写过,总觉得说来说去就那么些东西。前段时间研究了下Twitter类网站,Twitt
- 如果你的服务器是2003的,它默认只支持.net,不支持asp所以须进行以下操作:打开iis6.0里面的本地计算机->web服务扩展把
- 1、首页内容多一些地方特色,多一些主打内容登录前的首页,默认显示的是图片,日志、游戏、群组等,这些对地方站来说,并不理想。因为首页毕竟是一个
- 近期由于工信部的备案之风的到来,估计苦恼了很多站长,近期也发现很多网站由于没有备案而被关闭。多少站长的血泪呀!服务器IP更改对网站排名影响|
- 齐毛鸭对个人网站的思考一直在继续。个人网站的技术门槛已经越来越低。而齐毛鸭也发现,越来越多的个人网站缺的不是技术而是定位。个人网站不同于博客
- 内容摘要:以汉语全拼为标识的域名,因其特有的易记性而被国内众多网站广泛应用,近两年先后有土豆网、优酷网及蚂蚁网等大型网站高价收购应用全拼域名
- 首先申明一下,我不是高手,也不太懂技术,只会点皮毛和修改别人现成的东西!做了六年的网站,屈指一算,我也排上站长的先驱了。这几年来,看过无数网
- 举例:www.123.com要求:news.123.com获得www.123.com的登陆状态 以及评论/DIGG等更多交互信息不管你是否需
- V5shop引领独立网商成功的五个层次美国心理学家亚伯拉罕·马斯洛在《人类激励理论》论文中提出了著名的&ldq