Como alcançar melhor a prevenção de hackers, mencionei minha opinião pessoal! Primeiro, o programa gratuito é gratuito. Se você prestar atenção aos detalhes, a segurança do seu site será bastante aprimorada. Mesmo que haja uma vulnerabilidade como a injeção de SQL, um invasor não pode obter imediatamente seu site.
Devido à conveniência e fácil uso do ASP, mais e mais programas de fundo do site usam o idioma do script ASP. No entanto, como existem algumas vulnerabilidades de segurança no próprio ASP, um pouco acidental oferecerá às oportunidades de hackers. De fato, a segurança não é apenas uma questão de gerenciamento de rede, mas também os programadores também devem prestar atenção a alguns detalhes de segurança para desenvolver bons hábitos de segurança; caso contrário, eles trarão enormes riscos de segurança para o site. Atualmente, a maioria dos programas ASP na maioria dos sites tem essas vulnerabilidades de segurança, mas se você prestar atenção ao programa, ainda poderá evitá -lo.
1. Nome de usuário e senha estão rachados
Princípio de ataque: os nomes de usuário e as senhas geralmente são os mais interessados em hackers.
Precauções: é melhor encapsular o nome do usuário e a senha no lado do servidor. O nome de usuário e a senha com um grande número de vezes podem ser gravados em um arquivo oculto em uma posição. Se envolver a conexão com o banco de dados, apenas as permissões do procedimento de armazenamento são executadas em um estado ideal.
2. A verificação é ignorada
Princípio do ataque: a maioria dos programas ASP que precisam ser verificados agora são adicionados uma declaração de julgamento na cabeça da página, mas isso não é suficiente e pode estar ignorando a verificação diretamente pelos hackers.
Habilidades de defesa: a página ASP verificada é necessária para rastrear o nome do arquivo da página anterior.
3. INC Problema de vazamento de arquivo
Princípio do ataque: quando a página inicial do ASP está sendo feita e a depuração final é concluída, ela pode ser adicionada por alguns mecanismos de pesquisa para pesquisar objetos. Se alguém usar um mecanismo de pesquisa para encontrar essas páginas da Web no momento, ele obterá o posicionamento dos arquivos relevantes e você poderá encontrar os detalhes da localização e estrutura do banco de dados no navegador e revelar o código -fonte completo.
Precauções: os programadores devem depurar completamente antes da liberação da página da web; Primeiro, o conteúdo do arquivo .inc é criptografado e, em segundo lugar, você também pode usar o arquivo .asp em vez do arquivo .inc para que os usuários não pudessem assistir diretamente ao código -fonte do arquivo do navegador. O nome do arquivo do arquivo inc não deve usar o sistema padrão ou o nome que é facilmente adivinhado pelo usuário e tente usar as letras irregulares em inglês o máximo possível.
4. Backup automático é baixado
Princípio de ataque: em algumas ferramentas editar programas ASP, ao criar ou modificar um arquivo ASP, o editor criará automaticamente um arquivo de backup, como: UltraEdit fará backup de um arquivo .bak, como você criou ou modificou a AME.asp, o O editor gerará automaticamente um arquivo de algum.asp.bak.
Precauções: verifique cuidadosamente antes de enviar o programa para excluir documentos desnecessários.对以BAK为后缀的文件要特别小心。
5、特殊字符
Princípio de ataque: a caixa de entrada é uma meta usada pelos hackers. . Todos. Portanto, a caixa de entrada deve ser filtrada. No entanto, para melhorar a eficiência da legalidade de entrada apenas no cliente, ela ainda pode ser ignorada.
Habilidades de defesa: em programas ASP, como um quadro de mensagens, BBS e outras caixas de entrada, é melhor bloquear as instruções HTML, JavaScript e VBScript. . Ao mesmo tempo, o comprimento do caractere de entrada é limitado. Além disso, não apenas deve ser executado no cliente, mas inspeções semelhantes devem ser executadas no programa do servidor.
6. Download de banco de dados vulnerabilidade
Princípio do ataque: ao usar o Access como um banco de dados de segundo plano, se alguém souber ou adivinhar o nome do caminho e do banco de dados do banco de dados de acesso do servidor através de vários métodos, ele também pode baixar esse arquivo de banco de dados de acesso, que é muito perigoso.
Habilidades de defesa:
(1) Obtenha um nome não convencional complexo para o seu arquivo de banco de dados e coloque -o em várias camadas de diretório. O So So -chamado não convencional, por exemplo, por exemplo, se houver um banco de dados para salvar informações sobre livros, não lhe dê um nome de livro, mas um nome estranho, como D34ksfslf.mdb, e derrubado é colocado no Poucas camadas de ./kdslf/i44/studi/, para que os hackers desejem obter seu arquivo de banco de dados de acesso através de um método de adivinhação.
(2) Não escreva o nome do banco de dados no programa. Algumas pessoas gostam de escrever DSN no programa, como:
Dbpath = server.mappath (cmddb.mdb)
Conn.open driver = {Microsoft Access Driver (*.mdb)};
Se você obtiver o programa de origem, o nome do seu banco de dados de acesso estará rapidamente. Portanto, recomenda -se que você defina a fonte de dados no ODBC e depois escreva no programa:
Conn.openshujiyuan
(3) Use o acesso para codificar e criptografar o arquivo de banco de dados. Primeiro, selecione o banco de dados (como o empregador.mdb) na ferramenta → Segurança → banco de dados de criptografia/descriptografia e pressione OK e, em seguida, a janela criptografada do banco de dados pode ser armazenada após o banco de dados criptografado, que pode ser armazenado como um empregador1. mdb.
Deve -se notar que as ações acima não estão definindo uma senha para o banco de dados, mas apenas a codificação do arquivo de banco de dados.
Em seguida, somos criptografados para o banco de dados. Em seguida, selecione a ferramenta da tabela de funções → Segurança → Defina a senha do banco de dados e digite a senha.这样即使他人得到了employer1.mdb文件,没有密码他也是无法看到employer1.mdb中的内容。