請注意!常見的ASP腳本攻擊及防范技巧(2)_ASP教程

      編輯Tag賺U幣
      教程Tag:暫無Tag,歡迎添加,賺取U幣!

      推薦:ASP技巧實(shí)例:使用ASP記錄在線用戶的數(shù)量
      網(wǎng)絡(luò)的訪問量是每一個做網(wǎng)站的網(wǎng)友們都非常關(guān)心的問題。如何得知有多少個人正在訪問你的網(wǎng)站呢?如何將每天的訪問量記錄下來? 下面就是一個解決方案。 當(dāng)有用戶開始訪問網(wǎng)站時,服務(wù)器端的Gl

      4、自動備份被下載

      攻擊原理:在有些編輯ASP程序的工具中,當(dāng)創(chuàng)建或者修改一個ASP文件時,編輯器自動創(chuàng)建一個備份文件,比如:UltraEdit就會備份一個.bak文件,如你創(chuàng)建或者修改了some.asp,編輯器會自動生成一個叫some.asp.bak文件,如果你沒有刪除這個bak文件,攻擊者可以直接下載some.asp.bak文件,這樣some.asp的源程序就會被下載。

      防范技巧:上傳程序之前要仔細(xì)檢查,刪除不必要的文檔。對以BAK為后綴的文件要特別小心。

      5、特殊字符

      攻擊原理:輸入框是黑客利用的一個目標(biāo),他們可以通過輸入腳本語言等對用戶客戶端造成損壞;如果該輸入框涉及數(shù)據(jù)查詢,他們會利用特殊查詢語句,得到更多的數(shù)據(jù)庫數(shù)據(jù),甚至表的全部。因此必須對輸入框進(jìn)行過濾。但如果為了提高效率僅在客戶端進(jìn)行輸入合法性檢查,仍有可能被繞過。

      防范技巧:在處理類似留言板、BBS等輸入框的ASP程序中,最好屏蔽掉HTML、JavaScript、VBScript語句,如無特殊要求,可以限定只允許輸入字母與數(shù)字,屏蔽掉特殊字符。同時對輸入字符的長度進(jìn)行限制。而且不但要在客戶端進(jìn)行輸入合法性檢查,同時要在服務(wù)器端程序中進(jìn)行類似檢查。

      6、數(shù)據(jù)庫下載漏洞

      攻擊原理:在用Access做后臺數(shù)據(jù)庫時,如果有人通過各種方法知道或者猜到了服務(wù)器的Access數(shù)據(jù)庫的路徑和數(shù)據(jù)庫名稱,那么他也能夠下載這個Access數(shù)據(jù)庫文件,這是非常危險(xiǎn)的。

      防范技巧:

      (1)為你的數(shù)據(jù)庫文件名稱起個復(fù)雜的非常規(guī)的名字,并把它放在幾層目錄下。所謂 “非常規(guī)”, 打個比方說,比如有個數(shù)據(jù)庫要保存的是有關(guān)書籍的信息, 可不要給它起個“book.mdb”的名字,而要起個怪怪的名稱,比如d34ksfslf.mdb, 并把它放在如./kdslf/i44/studi/的幾層目錄下,這樣黑客要想通過猜的方式得到你的Access數(shù)據(jù)庫文件就難上加難了。


      (2)不要把數(shù)據(jù)庫名寫在程序中。有些人喜歡把DSN寫在程序中,比如:

      DBPath = Server.MapPath(“cmddb.mdb”)

      conn.Open “driver={Microsoft Access Driver (*.mdb)};dbq=” & DBPath


      假如萬一給人拿到了源程序,你的Access數(shù)據(jù)庫的名字就一覽無余了。因此建議你在ODBC里設(shè)置數(shù)據(jù)源,再在程序中這樣寫:

      conn.open“shujiyuan”

      (3)使用Access來為數(shù)據(jù)庫文件編碼及加密。首先在“工具→安全→加密/解密數(shù)據(jù)庫”中選取數(shù)據(jù)庫(如:employer.mdb),然后按確定,接著會出現(xiàn)“數(shù)據(jù)庫加密后另存為”的窗口,可存為:“employer1.mdb”。

      要注意的是,以上的動作并不是對數(shù)據(jù)庫設(shè)置密碼,而只是對數(shù)據(jù)庫文件加以編碼,目的是為了防止他人使用別的工具來查看數(shù)據(jù)庫文件的內(nèi)容。

      接下來我們?yōu)閿?shù)據(jù)庫加密,首先打開經(jīng)過編碼了的 employer1.mdb,在打開時,選擇“獨(dú)占”方式。然后選取功能表的“工具→安全→設(shè)置數(shù)據(jù)庫密碼”,接著輸入密碼即可。這樣即使他人得到了employer1.mdb文件,沒有密碼他也是無法看到 employer1.mdb中的內(nèi)容。



      分享:ASP批量生成靜態(tài)頁
      由于本人的空間收到限制,不能一次批量生成所有的靜態(tài)頁,所以自己寫了一個小程序和大家分享,程序相當(dāng)簡單,高手莫要見笑!此代碼就是很浪費(fèi)時間.代碼如下

      共2頁上一頁12下一頁
      來源:模板無憂//所屬分類:ASP教程/更新時間:2008-08-22
      相關(guān)ASP教程