ASP網(wǎng)站漏洞解析及黑客入侵防范方法 |
發(fā)布時(shí)間: 2012/5/15 15:29:09 |
如何更好的達(dá)到防范黑客攻擊,本人提一下個(gè)人意見!第一,免費(fèi)程序不要真的就免費(fèi)用,既然你可以共享原碼,那么攻擊者一樣可以分析代碼。如果在細(xì)節(jié)上注意防范,那樣你站點(diǎn)的安全性就大大的提高了。即使出現(xiàn)了SQL Injection這樣的漏洞,攻擊者也不可能馬上拿下你的站點(diǎn)。 由于ASP的方便易用,越來(lái)越多的網(wǎng)站后臺(tái)程序都使用ASP腳本語(yǔ)言。但是, 由于ASP本身存在一些安全漏洞,稍不小心就會(huì)給黑客提供可乘之機(jī)。事實(shí)上,安全不僅是網(wǎng)管的事,編程人員也必須在某些安全細(xì)節(jié)上注意,養(yǎng)成良好的安全習(xí)慣,否則會(huì)給自己的網(wǎng)站帶來(lái)巨大的安全隱患。目前,大多數(shù)網(wǎng)站上的ASP程序有這樣那樣的安全漏洞,但如果編寫程序的時(shí)候注意一點(diǎn)的話,還是可以避免的。 1、用戶名與口令被破解 攻擊原理:用戶名與口令,往往是黑客們最感興趣的東西,如果被通過某種方式看到源代碼,后果是嚴(yán)重的。 防范技巧:涉及用戶名與口令的程序最好封裝在服務(wù)器端,盡量少在ASP文件里出現(xiàn),涉及與數(shù)據(jù)庫(kù)連接的用戶名與口令應(yīng)給予最小的權(quán)限。出現(xiàn)次數(shù)多的用戶名與口令可以寫在一個(gè)位置比較隱蔽的包含文件中。如果涉及與數(shù)據(jù)庫(kù)連接,在理想狀態(tài)下只給它以執(zhí)行存儲(chǔ)過程的權(quán)限,千萬(wàn)不要直接給予該用戶修改、插入、刪除記錄的權(quán)限。 2、驗(yàn)證被繞過 攻擊原:現(xiàn)在需要經(jīng)過驗(yàn)證的ASP程序大多是在頁(yè)面頭部加一個(gè)判斷語(yǔ)句,但這還不夠,有可能被黑客繞過驗(yàn)證直接進(jìn)入。 防范技巧:需要經(jīng)過驗(yàn)證的ASP頁(yè)面,可跟蹤上一個(gè)頁(yè)面的文件名,只有從上一頁(yè)面轉(zhuǎn)進(jìn)來(lái)的會(huì)話才能讀取這個(gè)頁(yè)面。 3、Inc文件泄露問題 攻擊原理:當(dāng)存在ASP的主頁(yè)正在制作且沒有進(jìn)行最后調(diào)試完成以前,可以被某些搜索引擎機(jī)動(dòng)追加為搜索對(duì)象。如果這時(shí)候有人利用搜索引擎對(duì)這些網(wǎng)頁(yè)進(jìn)行查找,會(huì)得到有關(guān)文件的定位,并能在瀏覽器中查看到數(shù)據(jù)庫(kù)地點(diǎn)和結(jié)構(gòu)的細(xì)節(jié),并以此揭示完整的源代碼。 防范技巧:程序員應(yīng)該在網(wǎng)頁(yè)發(fā)布前對(duì)它進(jìn)行徹底的調(diào)試;安全專家則需要加固ASP文件以便外部的用戶不能看到它們。首先對(duì).inc文件內(nèi)容進(jìn)行加密,其次也可以使用.asp文件代替.inc文件使用戶無(wú)法從瀏覽器直接觀看文件的源代碼。inc文件的文件名不要使用系統(tǒng)默認(rèn)的或者有特殊含義容易被用戶猜測(cè)到的名稱,盡量使用無(wú)規(guī)則的英文字母。 (更多詳情,可以咨詢QQ530997) 本文出自:億恩科技【1tcdy.com】 (更多詳情,可以咨詢QQ530997) 本文出自:億恩科技【1tcdy.com】 --> 服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |