Wie ich besser Hacker verhindern kann, habe ich meine persönliche Meinung erwähnt! Erstens ist das kostenlose Programm kostenlos. Wenn Sie auf die Details achten, wird die Sicherheit Ihrer Website erheblich verbessert. Selbst wenn es eine Verwundbarkeit wie die SQL -Injektion gibt, kann ein Angreifer Ihre Website nicht sofort erhalten.
Aufgrund der Bequemlichkeit und der einfachen Nutzung von ASP verwenden immer mehr Website -Hintergrundprogramme ASP -Skriptsprache. Da es jedoch einige Sicherheitslücken in ASP selbst gibt, bietet ein wenig Zufall Hacker mit Möglichkeiten. In der Tat ist Sicherheit nicht nur eine Frage des Netzwerkmanagements, sondern auch die Programmierer müssen auf einige Sicherheitsdetails achten, um gute Sicherheitsgewohnheiten zu entwickeln, da sie ansonsten enorme Sicherheitsrisiken auf ihre Website einbringen. Derzeit haben die meisten ASP -Programme auf den meisten Websites solche Sicherheitslücken. Wenn Sie jedoch auf das Programm achten, können Sie es dennoch vermeiden.
1. Benutzername und Passwort sind geknackt
Angriffsprinzip: Benutzernamen und Passwörter sind häufig am meisten an Hackern interessiert.
Vorsichtsmaßnahmen: Es ist am besten, den Benutzernamen und das Kennwort auf der Serverseite zu verkapulieren. Der Benutzername und das Passwort mit einer großen Anzahl können in einer versteckten Datei in einer Position geschrieben werden. Wenn es sich um eine Verbindung mit der Datenbank handelt, werden nur die Berechtigungen des Speichervorgangs in einem idealen Zustand durchgeführt.
2. Die Überprüfung wird umgangen
Angriffsprinzip: Die meisten ASP -Programme, die jetzt überprüft werden müssen, werden eine Urteilserklärung auf dem Seitenkopf hinzugefügt, dies reicht jedoch nicht aus, und es kann die Überprüfung direkt von Hackern umgehen.
Verteidigungsfähigkeiten: Die verifizierte ASP -Seite ist erforderlich, um den Dateinamen der vorherigen Seite zu verfolgen.
3.. Inc Datei Leckage Problem
Angriffsprinzip: Wenn die Homepage von ASP vorgenommen wird und das endgültige Debugging abgeschlossen ist, kann sie von einigen Suchmaschinen zu Suchobjekten hinzugefügt werden. Wenn jemand eine Suchmaschine verwendet, um diese Webseiten zu diesem Zeitpunkt zu finden, wird die Positionierung der relevanten Dateien durchgeführt und Sie können die Details des Datenbankorts und der Struktur im Browser finden und den vollständigen Quellcode bekannt geben.
Vorsichtsmaßnahmen: Programmierer sollten es vollständig vor der Webseitenveröffentlichung debuggen. Zunächst ist der Inhalt der .inc -Datei verschlüsselt, und zweitens können Sie auch die .asp -Datei anstelle von .inc -Datei verwenden, damit Benutzer den Quellcode der Datei nicht direkt vom Browser ansehen konnten. Der Dateiname der Inc -Datei sollte nicht das Standardsystem oder den Namen verwenden, der vom Benutzer leicht erraten wird, und versuchen, die unregelmäßigen englischen Buchstaben so weit wie möglich zu verwenden.
4.. Automatische Sicherung wird heruntergeladen
Angriffsprinzip: In einigen Tools wird der Editor beim Erstellen oder Ändern einer ASP -Datei automatisch eine Sicherungsdatei erstellt, z. Der Editor generiert automatisch eine seltsame Datei für die BAK -Datei.
Vorsichtsmaßnahmen: Überprüfen Sie sorgfältig vor dem Hochladen des Programms, um unnötige Dokumente zu löschen. Achten Sie auf Dateien mit Bak als Suffix.
5. Sonderzeichen
Angriffsprinzip: Das Eingabefeld ist ein Ziel, das von Hackern verwendet wird. . Alle. Daher muss das Eingangsfeld gefiltert werden. Um jedoch die Effizienz der Eingangsverkleidung nur für den Kunden zu verbessern, kann dies weiterhin umgangen werden.
Verteidigungskenntnisse: In ASP -Programmen wie einem Message Board, BBS und anderen Eingabefelden ist es am besten, HTML-, JavaScript- und VBSScript -Anweisungen zu blockieren. . Gleichzeitig ist die Länge des Eingangszeichens begrenzt. Darüber hinaus müssen nicht nur im Client durchgeführt werden, sondern auch ähnliche Inspektionen im Serverprogramm durchgeführt werden.
6. Datenbank herunterladen Verwundbarkeit herunterladen
Angriffsprinzip: Wenn Sie den Zugriff als Hintergrunddatenbank verwenden, wenn jemand den Pfad- und Datenbanknamen der Zugriffsdatenbank des Servers über verschiedene Methoden kennt oder erraten, kann er diese Zugriffsdatenbankdatei auch herunterladen, was sehr gefährlich ist.
Verteidigungsfähigkeiten:
(1) Holen Sie sich einen komplexen unkonventionellen Namen für Ihre Datenbankdatei und geben Sie ihn in mehrere Verzeichnisschichten ein. Die sogenannten unkonventionellen SO, zum Beispiel, wenn es eine Datenbank gibt, um Informationen über Bücher zu speichern, ihm keinen Buchnamen, sondern einen seltsamen Namen wie D34KSFSLF.MDB zu geben und es herunterzunehmen, wird er in die platziert. Nur wenige Ebenen von ./kdslf/i44/studi/, damit Hacker Ihre Zugriffsdatenbankdatei über eine Ratenmethode erhalten möchten.
(2) Schreiben Sie den Datenbanknamen nicht in das Programm. Einige Leute schreiben gerne DSN in das Programm, wie zum Beispiel:
DbPath = server.mappath (cmddb.mdb)
Conn.open Driver = {Microsoft Access Driver (*.mdb)};
Wenn Sie das Quellprogramm erhalten, wird der Name Ihrer Zugriffsdatenbank auf einen Blick sein. Daher wird empfohlen, die Datenquelle in ODBC festzulegen und dann in das Programm zu schreiben:
Conn.openshujiyuan
(3) Verwenden Sie den Zugriff, um die Datenbankdatei zu codieren und zu verschlüsseln. Wählen Sie zunächst die Datenbank (z. B. Arbeitgeber.MDB) im Tool → Sicherheit → Verschlüsselung/Entschlüsselungsdatenbank aus und drücken Sie dann OK, und dann kann das Fenster "Datenbank" nach der Verschlüsselung der Datenbank gespeichert werden, die als Arbeitgeber1 gespeichert werden kann. MDB.
Es ist zu beachten, dass die oben genannten Aktionen kein Kennwort für die Datenbank festlegen, sondern nur die Datenbankdatei codieren.
Als nächstes werden wir für die Datenbank verschlüsselt. Wählen Sie dann das Tool der Funktionstabelle → Sicherheit → Legen Sie das Datenbankkennwort fest und geben Sie dann das Kennwort ein. Auf diese Weise gibt es, selbst wenn andere die Datei Arbeitgeber1.mdb erhalten, kein Passwort und er kann den Inhalt in Arbeitgeber1.mdb nicht sehen.