¡Cómo lograr mejor prevenir a los piratas informáticos, he mencionado mi opinión personal! Primero, el programa gratuito es gratuito. Si presta atención a los detalles, la seguridad de su sitio mejorará enormemente. Incluso si hay una vulnerabilidad como la inyección SQL, un atacante no puede obtener de inmediato su sitio.
Debido a la conveniencia y el uso fácil de ASP, cada vez más programas de fondo del sitio web utilizan el lenguaje de script ASP. Sin embargo, debido a que hay algunas vulnerabilidades de seguridad en la propia ASP, un poco accidental proporcionará a los piratas informáticos oportunidades. De hecho, la seguridad no es solo una cuestión de administración de redes, sino que también los programadores también deben prestar atención a algunos detalles de seguridad para desarrollar buenos hábitos de seguridad, de lo contrario traerán enormes riesgos de seguridad a su sitio web. En la actualidad, la mayoría de los programas ASP en la mayoría de los sitios web tienen tales vulnerabilidades de seguridad, pero si presta atención al programa, aún puede evitarlo.
1. Nombre de usuario y contraseña
Principio de ataque: los nombres de usuario y las contraseñas son a menudo los más interesados en los piratas informáticos.
Precauciones: es mejor encapsular el nombre de usuario y la contraseña en el lado del servidor. El nombre de usuario y la contraseña con una gran cantidad de veces se pueden escribir en un archivo oculto en una posición. Si implica conectarse con la base de datos, solo los permisos del procedimiento de almacenamiento se realizan en un estado ideal.
2. Se omite la verificación
Principio de ataque: La mayoría de los programas ASP que deben verificarse ahora se agregan una declaración de juicio en el cabezal de la página, pero esto no es suficiente, y puede estar pasando por alto la verificación directamente por los piratas informáticos.
Habilidades de defensa: se requiere la página ASP verificada para rastrear el nombre del archivo de la página anterior.
3. Problema de fuga de archivo INC
Principio de ataque: cuando se realiza la página de inicio de ASP y algunos motores de búsqueda pueden agregar la depuración final, puede agregarla a los objetos de búsqueda. Si alguien usa un motor de búsqueda para encontrar estas páginas web en este momento, obtendrá el posicionamiento de los archivos relevantes, y puede encontrar los detalles de la ubicación y la estructura de la base de datos en el navegador, y para revelar el código fuente completo.
Precauciones: los programadores deben depurarlo por completo antes de la versión de la página web; Primero, el contenido del archivo .INC está encriptado y, en segundo lugar, también puede usar el archivo .asp en lugar del archivo .Inc para que los usuarios no puedan ver directamente el código fuente del archivo desde el navegador. El nombre del archivo del archivo INC no debe usar el sistema predeterminado o el nombre que el usuario lo supera fácilmente, e intente usar las letras de inglés irregulares tanto como sea posible.
4. Se descarga la copia de seguridad automática
Principio de ataque: en algunas herramientas editar programas ASP, al crear o modificar un archivo ASP, el editor creará automáticamente un archivo de copia de seguridad, como: Ultraedit hacer una copia de seguridad de un archivo .bak, como creó o modificó AME.asp, el El editor generará automáticamente un archivo some.asp.bak.
Precauciones: Verifique cuidadosamente antes de cargar el programa para eliminar documentos innecesarios. Tenga cuidado con los archivos con BAK como sufijo.
5. Caracteres especiales
Principio de ataque: El cuadro de entrada es un objetivo utilizado por los piratas informáticos. . Todo. Por lo tanto, el cuadro de entrada debe ser filtrado. Sin embargo, para mejorar la eficiencia de la legalidad de entrada solo en el cliente, aún se puede pasar por alto.
Habilidades de defensa: en programas ASP como un tablero de mensajes, BBS y otros cuadros de entrada, es mejor bloquear las declaraciones HTML, JavaScript y VBScript. . Al mismo tiempo, la longitud del carácter de entrada es limitada. Además, no solo debe realizarse en el cliente, sino que se deben realizar inspecciones similares en el programa del servidor.
6. Vulnerabilidad de descarga de bases de datos
Principio de ataque: cuando se usa el acceso como una base de datos de fondo, si alguien sabe o adivina la ruta y el nombre de la base de datos de la base de datos de acceso del servidor a través de varios métodos, también puede descargar este archivo de base de datos de acceso, lo cual es muy peligroso.
Habilidades de defensa:
(1) Obtenga un nombre complejo no convencional para su archivo de base de datos y colóquelo en varias capas de directorio. El SO, no convencional, por ejemplo, por ejemplo, si hay una base de datos para guardar información sobre los libros, no le dé un nombre de libro, sino un nombre extraño, como d34ksfslf.mdb, y eliminarlo se coloca en el Pocas capas de ./kdslf/i44/studi/, para que los piratas informáticos deseen obtener su archivo de base de datos de acceso a través de un método de adivinanzas.
(2) No escriba el nombre de la base de datos en el programa. A algunas personas les gusta escribir DSN en el programa, como:
Dbpath = server.mappath (cmddb.mdb)
Conn.open Driver = {Microsoft Access Driver (*.mdb)};
Si obtiene el programa fuente, el nombre de su base de datos de acceso será de un vistazo. Por lo tanto, se recomienda establecer la fuente de datos en ODBC y luego escribir en el programa:
conn.openshujiyuan
(3) Use el acceso para codificar y cifrar el archivo de la base de datos. Primero, seleccione la base de datos (como Employer.MDB) en la herramienta → Seguridad → Base de datos de cifrado/descifrado, y luego presione OK, y luego la ventana cifrada de la base de datos se puede almacenar después de la base de datos encriptada, que se puede almacenar como un empleador1. MDB.
Cabe señalar que las acciones anteriores no están configurando una contraseña para la base de datos, sino que solo codifica el archivo de la base de datos es evitar que otros usen otras herramientas para ver el contenido del archivo de la base de datos.
A continuación, estamos encriptados para la base de datos. Luego seleccione la herramienta de la tabla de funciones → Seguridad → Establezca la contraseña de la base de datos y luego ingrese la contraseña. De esta manera, incluso si otros obtienen el archivo del empleador1.mdb, no hay contraseña y no puede ver el contenido en el empleador1.mdb.