كيفية تحقيق أفضل منع المتسللين ، لقد ذكرت رأيي الشخصي! أولاً ، البرنامج المجاني مجاني. إذا كنت تهتم بالتفاصيل ، فسيتم تحسين أمان موقعك بشكل كبير. حتى لو كان هناك ضعف مثل حقن SQL ، لا يمكن للمهاجم الحصول على موقعك على الفور.
نظرًا للراحة وسهولة الاستخدام لـ ASP ، تستخدم المزيد والمزيد من برامج خلفية موقع الويب لغة البرنامج النصي ASP. ومع ذلك ، نظرًا لوجود بعض نقاط الضعف الأمنية في ASP نفسه ، فإن القليل من العرضي سوف يوفر للمتسللين الفرص. في الواقع ، ليس الأمان مسألة إدارة الشبكة فحسب ، بل يجب على المبرمجين أيضًا الانتباه إلى بعض تفاصيل الأمن لتطوير عادات أمنية جيدة ، وإلا فإنهم سيحققون مخاطر أمنية ضخمة إلى موقعهم على الويب. في الوقت الحاضر ، فإن معظم برامج ASP على معظم مواقع الويب لديها مثل هذه الثغرات الأمنية ، ولكن إذا كنت تهتم بالبرنامج ، فلا يزال بإمكانك تجنب ذلك.
1. اسم المستخدم وكلمة المرور متشققة
مبدأ الهجوم: غالبًا ما تكون أسماء المستخدمين وكلمات المرور هي الأكثر اهتمامًا بالمتسللين.
الاحتياطات: من الأفضل تغليف اسم المستخدم وكلمة المرور على جانب الخادم. يمكن كتابة اسم المستخدم وكلمة المرور مع عدد كبير من المرات في ملف مخفي في وضع واحد. إذا كان ذلك يتضمن الاتصال بقاعدة البيانات ، فلا يتم تنفيذ أذونات إجراء التخزين فقط في حالة مثالية.
2. التحقق من التجاوز
مبدأ الهجوم: تتم إضافة معظم برامج ASP التي تحتاج إلى التحقق الآن من بيان الحكم على رأس الصفحة ، لكن هذا لا يكفي ، وقد يتخطى التحقق مباشرة من قبل المتسللين.
مهارات الدفاع: مطلوب صفحة ASP التي تم التحقق منها لتتبع اسم الملف للصفحة السابقة.
3. INC مشكلة تسرب الملف
مبدأ الهجوم: عند إجراء الصفحة الرئيسية لـ ASP وإكمال التصحيح النهائي ، يمكن إضافته بواسطة بعض محركات البحث للبحث عن الكائنات. إذا كان شخص ما يستخدم محرك بحث للعثور على صفحات الويب هذه في هذا الوقت ، فسوف يحصل على وضع الملفات ذات الصلة ، ويمكنك العثور على تفاصيل موقع قاعدة البيانات والهيكل في المتصفح ، والكشف عن رمز المصدر الكامل.
الاحتياطات: يجب على المبرمجين تصحيحها بالكامل قبل إصدار صفحة الويب ؛ أولاً ، يتم تشفير محتوى ملف .inc ، وثانياً ، يمكنك أيضًا استخدام ملف .asp بدلاً من ملف .inc حتى لا يتمكن المستخدمون من مشاهدة الكود المصدري للملف مباشرة من المتصفح. يجب ألا يستخدم اسم ملف ملف INC النظام الافتراضي أو الاسم الذي يسهل عليه المستخدم ، ويحاول استخدام الحروف الإنجليزية غير المنتظمة قدر الإمكان.
4. يتم تنزيل النسخ الاحتياطي التلقائي
مبدأ الهجوم: في بعض الأدوات ، قم بتحرير برامج ASP ، عند إنشاء ملف ASP أو تعديله ، سيقوم المحرر تلقائيًا بإنشاء ملف احتياطي ، مثل: ستعمل UltraEdit على نسخة احتياطية من ملف .bak ، مثل إنشاء أو تعديل ame.asp سيقوم المحرر تلقائيًا بإنشاء ملف some.asp.bak.
الاحتياطات: تحقق بعناية قبل تحميل البرنامج لحذف المستندات غير الضرورية. كن حذرًا بشأن الملفات مع BAK مثل اللاحقة.
5. شخصيات خاصة
مبدأ الهجوم: مربع الإدخال هو هدف يستخدمه المتسللين. . الجميع. لذلك ، يجب ترشيح مربع الإدخال. ومع ذلك ، من أجل تحسين كفاءة شرعية المدخلات فقط على العميل ، قد لا يزال يتم تجاوزه.
مهارات الدفاع: في برامج ASP مثل لوحة الرسائل ومربعات الإدخال الأخرى ، من الأفضل حظر بيانات HTML و JavaScript و VBSCript. . في الوقت نفسه ، يكون طول حرف الإدخال محدودًا. علاوة على ذلك ، لا يجب تنفيذ فقط في العميل ، ولكن يجب إجراء عمليات تفتيش مماثلة في برنامج الخادم.
6. قاعدة البيانات تنزيل الضعف
مبدأ الهجوم: عند استخدام Access كقاعدة بيانات خلفية ، إذا كان أي شخص يعرف أو يخمن اسم المسار وقاعدة البيانات لقاعدة بيانات الوصول إلى الخادم من خلال طرق مختلفة ، فيمكنه أيضًا تنزيل ملف قاعدة بيانات الوصول هذا ، وهو أمر خطير للغاية.
مهارات الدفاع:
(1) احصل على اسم معقد غير تقليدي لملف قاعدة البيانات الخاص بك ووضعه في عدة طبقات من الدليل. على سبيل المثال ، على سبيل المثال ، على سبيل المثال ، إذا كانت هناك قاعدة بيانات لحفظ المعلومات حول الكتب ، لا تعطيها اسم كتاب ، ولكن اسم غريب ، مثل d34ksfslf.mdb ، وإنزاله في وضعه في بعض الطبقات من ./kdslf/i44/studi/ ، بحيث يرغب المتسللين في الحصول على ملف قاعدة بيانات الوصول الخاص بك من خلال طريقة التخمين.
(2) لا تكتب اسم قاعدة البيانات في البرنامج. يحب بعض الناس كتابة DSN في البرنامج ، مثل:
DBPath = server.mappath (cmddb.mdb)
Conn.Open Driver = {Microsoft Access Driver (*.mdb)} ؛
إذا حصلت على برنامج المصدر ، فسيكون اسم قاعدة بيانات الوصول الخاصة بك في لمحة. لذلك ، يوصى بتعيين مصدر البيانات في ODBC ثم الكتابة في البرنامج:
conn.openshujiyuan
(3) استخدم الوصول إلى تشفير وترميز ملف قاعدة البيانات. أولاً ، حدد قاعدة البيانات (مثل صاحب العمل. mdb) في قاعدة بيانات الأداة → الأمان → قاعدة بيانات التشفير/فك التشفير ، ثم اضغط على OK ، ثم يمكن تخزين النافذة المشفرة لقاعدة البيانات بعد تشفير قاعدة البيانات ، والتي يمكن تخزينها كصاحب عمل 1. MDB.
تجدر الإشارة إلى أن الإجراءات أعلاه لا تضع كلمة مرور لقاعدة البيانات ، ولكن فقط ترميز ملف قاعدة البيانات.
بعد ذلك ، يتم تشفيرها لقاعدة البيانات. ثم حدد أداة جدول الوظيفة → الأمان → قم بتعيين كلمة مرور قاعدة البيانات ، ثم أدخل كلمة المرور. وبهذه الطريقة ، حتى لو حصل الآخرون على ملف صاحب العمل. mdb ، لا توجد كلمة مرور ولا يمكنه رؤية المحتوى في صاحب العمل 1.mdb.