Comment mieux atteindre la prévention des pirates, j'ai mentionné mon opinion personnelle! Premièrement, le programme gratuit est gratuit. Si vous faites attention aux détails, la sécurité de votre site sera considérablement améliorée. Même s'il y a une vulnérabilité telle que l'injection SQL, un attaquant ne peut pas obtenir immédiatement votre site.
En raison de la commodité et de l'utilisation facile de l'ASP, de plus en plus de programmes d'arrière-plan du site Web utilisent le langage de script ASP. Cependant, comme il y a certaines vulnérabilités de sécurité dans ASP elle-même, un peu accidentel offrira aux pirates des opportunités. En fait, la sécurité n'est pas seulement une question de gestion du réseau, mais aussi les programmeurs doivent également prêter attention à certains détails de sécurité pour développer de bonnes habitudes de sécurité, sinon ils apporteront d'énormes risques de sécurité à leur site Web. À l'heure actuelle, la plupart des programmes ASP sur la plupart des sites Web ont de telles vulnérabilités de sécurité, mais si vous faites attention au programme, vous pouvez toujours l'éviter.
1. Le nom d'utilisateur et le mot de passe sont fissurés
Principe d'attaque: les noms d'utilisateur et les mots de passe sont souvent les plus intéressés par les pirates.
Précautions: il est préférable de résumer le nom d'utilisateur et le mot de passe du côté serveur. Le nom d'utilisateur et le mot de passe avec un grand nombre de fois peuvent être écrits dans un fichier caché dans une position. S'il s'agit de se connecter avec la base de données, seules les autorisations de la procédure de stockage sont effectuées dans un état idéal.
2. La vérification est contournée
Principe d'attaque: la plupart des programmes ASP qui doivent être vérifiés maintenant sont ajoutés une déclaration de jugement sur le chef de la page, mais cela ne suffit pas, et cela peut contourner la vérification directement par les pirates.
Compétences de défense: la page ASP vérifiée est nécessaire pour suivre le nom du fichier de la page précédente.
3. Inc Problème de fuite de fichiers
Principe d'attaque: lorsque la page d'accueil d'ASP est en cours et que le débogage final est terminé, il peut être ajouté par certains moteurs de recherche pour rechercher des objets. Si quelqu'un utilise un moteur de recherche pour trouver ces pages Web pour le moment, il obtiendra le positionnement des fichiers pertinents, et vous pouvez trouver les détails de l'emplacement et de la structure de la base de données dans le navigateur, et pour révéler le code source complet.
Précautions: les programmeurs doivent le déboguer complètement avant la version de la page Web; les experts en sécurité doivent renforcer les fichiers ASP afin que les utilisateurs externes ne puissent pas les voir. Tout d'abord, le contenu du fichier .inc est chiffré, et deuxièmement, vous pouvez également utiliser le fichier .asp au lieu du fichier .inc afin que les utilisateurs ne puissent pas regarder directement le code source du fichier à partir du navigateur. Le nom de fichier du fichier Inc ne doit pas utiliser le système par défaut ou le nom facilement deviné par l'utilisateur et essayer d'utiliser autant que possible les lettres anglaises irrégulières.
4. La sauvegarde automatique est téléchargée
Principe d'attaque: dans certains outils modifier les programmes ASP, lors de la création ou de la modification d'un fichier ASP, l'éditeur créera automatiquement un fichier de sauvegarde, tel que: UltraEdit sauvegardera un fichier .bak, comme vous avez créé ou modifié AME.asp, le L'éditeur générera automatiquement un fichier Some.asp.bak.
Précautions: Vérifiez attentivement avant de télécharger le programme pour supprimer les documents inutiles. Faites attention aux fichiers avec BAK comme suffixe.
5. Caractères spéciaux
Principe d'attaque: la boîte d'entrée est un objectif utilisé par les pirates. . Tous. Par conséquent, la boîte d'entrée doit être filtrée. Cependant, afin d'améliorer l'efficacité de la légalité d'entrée uniquement sur le client, il peut toujours être contourné.
Compétences de défense: Dans les programmes ASP tels qu'un babillard, BBS et d'autres boîtes d'entrée, il est préférable de bloquer les instructions HTML, JavaScript et VBScript. . Dans le même temps, la longueur du caractère d'entrée est limitée. De plus, non seulement doit être effectué dans le client, mais des inspections similaires doivent être effectuées dans le programme Server.
6. Vulnérabilité de téléchargement de la base de données
Principe d'attaque: lors de l'utilisation de l'accès comme base de données d'arrière-plan, si quelqu'un connaît ou devine le chemin et le nom de la base de données de la base de données d'accès du serveur via diverses méthodes, il peut également télécharger ce fichier de base de données d'accès, ce qui est très dangereux.
Compétences de défense:
(1) Obtenez un nom non conventionnel complexe pour votre fichier de base de données et placez-le dans plusieurs couches de répertoire. Le So-Salled non conventionnel, par exemple, par exemple, s'il y a une base de données pour enregistrer des informations sur les livres, ne lui donnez pas de nom de livre, mais un nom étrange, comme D34KSfslf.mdb, et la suppression est placée dans le Peu de couches de ./kdslf/i44/studi/, de sorte que les pirates souhaitent obtenir votre fichier de base de données d'accès via une méthode de devinettes.
(2) N'écrivez pas le nom de la base de données dans le programme. Certaines personnes aiment écrire du DSN dans le programme, comme:
Dbpath = server.mappath (cmddb.mdb)
Conn.open Driver = {Microsoft Access Driver (* .mdb)};
Si vous obtenez le programme source, le nom de votre base de données d'accès sera en un coup d'œil. Par conséquent, il est recommandé de définir la source de données dans ODBC, puis d'écrire dans le programme:
Conn.openshujiyuan
(3) Utilisez l'accès pour encoder et chiffrer le fichier de base de données. Tout d'abord, sélectionnez la base de données (telle que Employer.MDB) dans l'outil → Sécurité → Base de données de cryptage / décryptage, puis appuyez sur OK, puis la fenêtre cryptée de la base de données peut être stockée après la base de données cryptée, qui peut être stockée en tant que Employer1. MDB.
Il convient de noter que les actions ci-dessus ne définissent pas un mot de passe pour la base de données, mais codant uniquement le fichier de base de données.
Ensuite, nous sommes cryptés pour la base de données. Sélectionnez ensuite l'outil de la table de fonction → Sécurité → Définissez le mot de passe de la base de données, puis entrez le mot de passe. De cette façon, même si les autres obtiennent le fichier employeur1.mdb, il n'y a pas de mot de passe et il ne peut pas voir le contenu dans employeur1.mdb.