해커를 예방하는 방법을 더 잘 달성하는 방법, 나는 개인적인 의견을 언급했습니다! 먼저, 무료 프로그램은 무료로 제공되므로 원래 코드를 공유 할 수 있으므로 공격자는 코드를 분석 할 수 있습니다. 세부 사항에주의를 기울이면 사이트의 보안이 크게 향상됩니다. SQL 주입과 같은 취약점이 있더라도 공격자는 즉시 사이트를 얻을 수 없습니다.
ASP의 편의성과 쉬운 사용으로 인해 점점 더 많은 웹 사이트 배경 프로그램이 ASP 스크립트 언어를 사용합니다. 그러나 ASP 자체에는 일부 보안 취약점이 있기 때문에 우연히 해커에게 기회를 제공 할 것입니다. 실제로 보안은 네트워크 관리의 문제 일뿐 만 아니라 프로그래머는 훌륭한 보안 습관을 개발하기 위해 일부 보안 세부 사항에주의를 기울여야하며, 그렇지 않으면 웹 사이트에 큰 보안 위험을 가져올 것입니다. 현재 대부분의 웹 사이트의 대부분의 ASP 프로그램에는 그러한 보안 취약점이 있지만 프로그램에주의를 기울이면 여전히 피할 수 있습니다.
1. 사용자 이름과 비밀번호가 금이 간다
공격 원칙 : 사용자 이름과 암호는 종종 해커에 가장 관심이 있습니다.
예방 조치 : 서버 측면에서 사용자 이름과 비밀번호를 캡슐화하는 것이 가장 좋습니다. 많은 시간이있는 사용자 이름과 비밀번호는 한 위치의 숨겨진 파일로 작성할 수 있습니다. 데이터베이스와 연결하는 경우 스토리지 절차의 권한 만 이상적인 상태로 수행됩니다.
2. 확인이 우회된다
공격 원칙 : 확인 해야하는 대부분의 ASP 프로그램에는 페이지 헤드에 판단 명세서가 추가되지만 충분하지 않으며 해커가 직접 확인하고있을 수 있습니다.
방어 기술 : 이전 페이지에서 전송 된 세션 만 읽으려면 검증 된 ASP 페이지가 필요합니다.
3. INC 파일 누출 문제
공격 원칙 : ASP의 홈페이지가 만들어지고 최종 디버깅이 완료되면 일부 검색 엔진에서 검색 객체에 추가 할 수 있습니다. 누군가가 검색 엔진을 사용하여 현재이 웹 페이지를 찾으면 관련 파일의 위치를 얻을 수 있으며 브라우저에서 데이터베이스 위치 및 구조의 세부 사항을 찾고 전체 소스 코드를 공개 할 수 있습니다.
예방 조치 : 프로그래머는 웹 페이지 릴리스 전에 완전히 디버깅해야합니다. 보안 전문가는 외부 사용자가 볼 수 없도록 ASP 파일을 강화해야합니다. 먼저 .inc 파일의 내용이 암호화되고 둘째, .inc 파일 대신 .asp 파일을 사용하여 사용자가 브라우저에서 파일의 소스 코드를 직접 볼 수 없도록 할 수도 있습니다. Inc 파일의 파일 이름은 기본 시스템이나 사용자가 쉽게 추측하는 이름을 사용하지 않아야하며 가능한 한 불규칙한 영어 문자를 사용해보십시오.
4. 자동 백업이 다운로드됩니다
공격 원칙 : 일부 도구에서 ASP 프로그램 편집, ASP 파일을 작성하거나 수정할 때 편집기는 다음과 같은 백업 파일을 자동으로 만듭니다. Ultraedit은 Ame.asp를 작성하거나 수정 한 것과 같은 .BAK 파일을 백업합니다. 편집기는이 BAK 파일을 삭제하지 않으면 일부는 일부 .asp.bak 파일을 직접 다운로드하여 일부 .ASP의 소스 프로그램을 다운로드 할 수 있습니다.
예방 조치 : 불필요한 문서를 삭제하기 위해 프로그램을 업로드하기 전에주의 깊게 확인하십시오. Bak을 접미사로 사용하는 파일에주의하십시오.
5. 특수 인물
공격 원리 : 입력 상자는 해커가 사용하는 목표입니다. 입력 상자에 데이터 문의가 포함되면 더 많은 데이터베이스 데이터 또는 테이블을 얻을 수 있습니다. . 모두. 따라서 입력 상자를 필터링해야합니다. 그러나 고객에게만 입력 합법성의 효율성을 향상시키기 위해서는 여전히 우회 될 수 있습니다.
Defense skills: In ASP programs such as a message board, BBS and other input boxes, it is best to block HTML, JavaScript, and VBScript statements. If there are no special requirements, you can limit the input letters and numbers to block special characters . 동시에 입력 문자의 길이는 제한됩니다. 또한 클라이언트에서 수행해야 할뿐만 아니라 서버 프로그램에서 유사한 검사를 수행해야합니다.
6. 데이터베이스 다운로드 취약성
공격 원칙 : 액세스를 배경 데이터베이스로 사용하는 경우 다양한 방법을 통해 서버 액세스 데이터베이스의 경로 및 데이터베이스 이름을 알고 있거나 추측하는 경우이 액세스 데이터베이스 파일을 다운로드 할 수도 있습니다.
방어 기술 :
(1) 데이터베이스 파일에 대한 복잡한 비 전통적인 이름을 가져 와서 여러 디렉토리 계층에 넣습니다. 예를 들어, 책에 대한 정보를 저장하기위한 데이터베이스가있는 경우, 책 이름을주지 말고 d34ksfslf.mdb와 같은 이상한 이름을 부여하고 내려 놓습니다. ./kdslf/i44/studi/의 레이어는 거의 없으므로 해커는 추측 방법을 통해 액세스 데이터베이스 파일을 얻기를 원합니다.
(2) 프로그램에 데이터베이스 이름을 쓰지 마십시오. 어떤 사람들은 다음과 같은 프로그램에서 DSN을 작성하는 것을 좋아합니다.
dbpath = server.mappath (cmddb.mdb)
Conn.open 드라이버 = {Microsoft Access Driver (*.mdb)};
소스 프로그램을 받으면 액세스 데이터베이스 이름이 한눈에 볼 수 있습니다. 따라서 ODBC에서 데이터 소스를 설정 한 다음 프로그램에 작성하는 것이 좋습니다.
Conn.openshujiyuan
(3) 액세스를 사용하여 데이터베이스 파일을 인코딩하고 암호화합니다. 먼저, 도구 → 보안 → 암호화/암호 해독 데이터베이스에서 데이터베이스 (예 : 고용주 .mdb)를 선택한 다음 OK를 누른 다음 데이터베이스 암호화 된 창을 암호화 한 후에 저장할 수 있으며 고용주로 저장할 수 있습니다. MDB.
위의 조치는 데이터베이스의 비밀번호를 설정하는 것이 아니라 데이터베이스 파일의 내용을 보려면 다른 도구를 사용하지 않도록하는 것입니다.
다음으로 데이터베이스를 암호화합니다. 그런 다음 기능 테이블 → 보안 → 데이터베이스 비밀번호를 설정 한 다음 비밀번호를 입력하십시오. 이런 식으로 다른 사람들이 고용주 1.mdb 파일을 받더라도 암호가 없으며 고용주 1.mdb에서 내용을 볼 수 없습니다.