Bagaimana cara mencapai pencegah peretas dengan lebih baik, saya telah menyebutkan pendapat pribadi saya! Pertama, program gratis ini gratis. Jika Anda memperhatikan detailnya, keamanan situs Anda akan sangat ditingkatkan. Bahkan jika ada kerentanan seperti injeksi SQL, penyerang tidak dapat segera mendapatkan situs Anda.
Karena kenyamanan dan penggunaan ASP yang mudah, semakin banyak program latar belakang situs web menggunakan bahasa skrip ASP. Namun, karena ada beberapa kerentanan keamanan di ASP itu sendiri, sedikit kecelakaan akan memberikan peluang kepada peretas. Faktanya, keamanan bukan hanya masalah manajemen jaringan, tetapi juga pemrogram juga harus memperhatikan beberapa detail keamanan untuk mengembangkan kebiasaan keamanan yang baik, jika tidak mereka akan membawa risiko keamanan besar ke situs web mereka. Saat ini, sebagian besar program ASP di sebagian besar situs web memiliki kerentanan keamanan seperti itu, tetapi jika Anda memperhatikan program tersebut, Anda masih dapat menghindarinya.
1. Nama pengguna dan kata sandi retak
Prinsip Serangan: Nama pengguna dan kata sandi sering kali paling tertarik pada peretas.
Tindakan: Yang terbaik adalah merangkum nama pengguna dan kata sandi di sisi server. Nama pengguna dan kata sandi dengan sejumlah besar kali dapat ditulis dalam file tersembunyi di satu posisi. Jika melibatkan penghubung dengan database, hanya izin dari prosedur penyimpanan yang dilakukan dalam keadaan ideal.
2. Verifikasi dilewati
Prinsip Serangan: Sebagian besar program ASP yang perlu diverifikasi sekarang ditambahkan pernyataan penilaian pada kepala halaman, tetapi ini tidak cukup, dan mungkin melewati verifikasi secara langsung oleh peretas.
Keterampilan Pertahanan: Halaman ASP yang diverifikasi diperlukan untuk melacak nama file halaman sebelumnya.
3. Masalah kebocoran file Inc
Prinsip Serangan: Ketika beranda ASP sedang dibuat dan debugging akhir selesai, itu dapat ditambahkan oleh beberapa mesin pencari untuk mencari objek. Jika seseorang menggunakan mesin pencari untuk menemukan halaman web ini saat ini, itu akan mendapatkan posisi file yang relevan, dan Anda dapat menemukan detail lokasi dan struktur basis data di browser, dan untuk mengungkapkan kode sumber lengkap.
Tindakan Pencegahan: Pemrogram harus sepenuhnya men -debug sebelum rilis halaman web; Pertama, konten file .inc dienkripsi, dan kedua, Anda juga dapat menggunakan file .asp alih -alih file .inc sehingga pengguna tidak dapat secara langsung menonton kode sumber file dari browser. Nama file file Inc tidak boleh menggunakan sistem default atau nama yang mudah ditebak oleh pengguna, dan mencoba menggunakan huruf bahasa Inggris yang tidak teratur sebanyak mungkin.
4. Cadangan Otomatis Diunduh
Prinsip Serangan: Dalam beberapa alat mengedit program ASP, saat membuat atau memodifikasi file ASP, editor akan secara otomatis membuat file cadangan, seperti: UltraEdit akan mencadangkan file .bak, seperti yang Anda buat atau memodifikasi ame.asp, the Editor akan secara otomatis menghasilkan file beberapa.asp.bak.
Tindakan Pencegahan: Periksa dengan cermat sebelum mengunggah program untuk menghapus dokumen yang tidak perlu. Berhati -hatilah dengan file dengan bak sebagai akhiran.
5. Karakter Khusus
Prinsip Serangan: Kotak Input adalah tujuan yang digunakan oleh peretas. . Semua. Oleh karena itu, kotak input harus disaring. Namun, untuk meningkatkan efisiensi legalitas input hanya pada klien, itu mungkin masih dilewati.
Keterampilan Pertahanan: Dalam program ASP seperti papan pesan, BBS dan kotak input lainnya, yang terbaik adalah memblokir pernyataan HTML, JavaScript, dan VBScript. . Pada saat yang sama, panjang karakter input terbatas. Selain itu, tidak hanya harus dilakukan pada klien, tetapi inspeksi serupa harus dilakukan dalam program server.
6. Database Unduh Kerentanan
Prinsip Serangan: Saat menggunakan akses sebagai database latar belakang, jika ada yang tahu atau tebak jalur dan nama basis data dari database akses server melalui berbagai metode, maka ia juga dapat mengunduh file database akses ini, yang sangat berbahaya.
Keterampilan Pertahanan:
(1) Dapatkan nama yang tidak konvensional yang kompleks untuk file basis data Anda dan masukkan ke dalam beberapa lapisan direktori. SO yang disebut tidak konvensional, misalnya, misalnya, jika ada database untuk menyimpan informasi tentang buku, jangan beri nama buku, tetapi nama yang aneh, seperti d34ksfslf.mdb, dan kalah ditempatkan di dalam Beberapa lapisan ./kdslf/i44/studi/, sehingga peretas ingin mendapatkan file database akses Anda melalui metode menebak.
(2) Jangan menulis nama basis data dalam program. Beberapa orang suka menulis DSN dalam program ini, seperti:
Dbpath = server.mappath (cmddb.mdb)
conn.open driver = {Microsoft Access Driver (*.mdb)};
Jika Anda mendapatkan program sumber, nama database akses Anda akan sekilas. Oleh karena itu, Anda disarankan untuk mengatur sumber data di ODBC dan kemudian menulis dalam program:
Conn.openshujiyuan
(3) Gunakan akses untuk menyandikan dan mengenkripsi file database. Pertama, pilih database (seperti pemberi kerja.mdb) di Tool → Security → Database Enkripsi/Dekripsi, dan kemudian tekan OK, dan kemudian jendela dienkripsi database dapat disimpan setelah database dienkripsi, yang dapat disimpan sebagai majikan1. MDB.
Perlu dicatat bahwa tindakan di atas tidak mengatur kata sandi untuk database, tetapi hanya mengkode file database.
Selanjutnya kami dienkripsi untuk database. Kemudian pilih alat tabel fungsi → Keamanan → Atur kata sandi basis data, lalu masukkan kata sandi. Dengan cara ini, bahkan jika orang lain mendapatkan file majikan1.mdb, tidak ada kata sandi dan dia tidak dapat melihat konten di majikan1.mdb.