請注意!常見的ASP腳本攻擊及防范技巧_ASP教程
推薦:ASP技巧實例:使用ASP記錄在線用戶的數(shù)量網(wǎng)絡(luò)的訪問量是每一個做網(wǎng)站的網(wǎng)友們都非常關(guān)心的問題。如何得知有多少個人正在訪問你的網(wǎng)站呢?如何將每天的訪問量記錄下來? 下面就是一個解決方案。 當(dāng)有用戶開始訪問網(wǎng)站時,服務(wù)器端的Gl
由于ASP的方便易用,越來越多的網(wǎng)站后臺程序都使用ASP腳本語言。但是, 由于ASP本身存在一些安全漏洞,稍不小心就會給黑客提供可乘之機。事實上,安全不僅是網(wǎng)管的事,編程人員也必須在某些安全細節(jié)上注意,養(yǎng)成良好的安全習(xí)慣,否則會給自己的網(wǎng)站帶來巨大的安全隱患。目前,大多數(shù)網(wǎng)站上的ASP程序有這樣那樣的安全漏洞,但如果編寫程序的時候注意一點的話,還是可以避免的。
1、用戶名與口令被破解
攻擊原理:用戶名與口令,往往是黑客們最感興趣的東西,如果被通過某種方式看到源代碼,后果是嚴重的。
防范技巧:涉及用戶名與口令的程序最好封裝在服務(wù)器端,盡量少在ASP文件里出現(xiàn),涉及與數(shù)據(jù)庫連接的用戶名與口令應(yīng)給予最小的權(quán)限。出現(xiàn)次數(shù)多的用戶名與口令可以寫在一個位置比較隱蔽的包含文件中。如果涉及與數(shù)據(jù)庫連接,在理想狀態(tài)下只給它以執(zhí)行存儲過程的權(quán)限,千萬不要直接給予該用戶修改、插入、刪除記錄的權(quán)限。
2、驗證被繞過
攻擊原理:現(xiàn)在需要經(jīng)過驗證的ASP程序大多是在頁面頭部加一個判斷語句,但這還不夠,有可能被黑客繞過驗證直接進入。
防范技巧:需要經(jīng)過驗證的ASP頁面,可跟蹤上一個頁面的文件名,只有從上一頁面轉(zhuǎn)進來的會話才能讀取這個頁面。
3、inc文件泄露問題
攻擊原理:當(dāng)存在ASP的主頁正在制作且沒有進行最后調(diào)試完成以前,可以被某些搜索引擎機動追加為搜索對象。如果這時候有人利用搜索引擎對這些網(wǎng)頁進行查找,會得到有關(guān)文件的定位,并能在瀏覽器中查看到數(shù)據(jù)庫地點和結(jié)構(gòu)的細節(jié),并以此揭示完整的源代碼。
防范技巧:程序員應(yīng)該在網(wǎng)頁發(fā)布前對它進行徹底的調(diào)試;安全專家則需要加固ASP文件以便外部的用戶不能看到它們。首先對.inc文件內(nèi)容進行加密,其次也可以使用.asp文件代替.inc文件使用戶無法從瀏覽器直接觀看文件的源代碼。inc文件的文件名不要使用系統(tǒng)默認的或者有特殊含義容易被用戶猜測到的名稱,盡量使用無規(guī)則的英文字母。
分享:ASP批量生成靜態(tài)頁由于本人的空間收到限制,不能一次批量生成所有的靜態(tài)頁,所以自己寫了一個小程序和大家分享,程序相當(dāng)簡單,高手莫要見笑!此代碼就是很浪費時間.代碼如下
- 相關(guān)鏈接:
- 教程說明:
ASP教程-請注意!常見的ASP腳本攻擊及防范技巧。