Как лучше достичь предотвращения хакеров, я упомянул свое личное мнение! Во -первых, бесплатная программа бесплатна. Если вы обратите внимание на детали, безопасность вашего сайта будет значительно улучшена. Даже если есть уязвимость, такая как инъекция SQL, злоумышленник не может немедленно получить ваш сайт.
Из -за удобства и простого использования ASP все больше и больше программ для веб -сайтов используют язык сценариев ASP. Однако, поскольку в самом ASP есть некоторые уязвимости безопасности, немного случайно предоставит хакерам возможности. Фактически, безопасность - это не только вопрос управления сетью, но и программисты также должны обратить внимание на некоторые детали безопасности для разработки хороших привычек безопасности, в противном случае они принесут огромные риски безопасности на свой веб -сайт. В настоящее время большинство программ ASP на большинстве веб -сайтов имеют такие уязвимости безопасности, но если вы обратите внимание на программу, вы все равно можете избежать ее.
1. Имя пользователя и пароль взломаны
Принцип атаки: Имена пользователей и пароли часто наиболее интересны в хакерах.
Меры предосторожности: Лучше всего инкапсулировать имя пользователя и пароль на стороне сервера. Имя пользователя и пароль с большим количеством раз могут быть записаны в скрытом файле в одной позиции. Если он включает в себя подключение к базе данных, только разрешения процедуры хранения выполняются в идеальном состоянии.
2. Проверка обходится
Принцип атаки: Большинство программ ASP, которые необходимо проверить сейчас, добавляют заявление о суждении в заголовке страницы, но этого недостаточно, и это может обойти проверку непосредственно хакерами.
Навыки защиты: проверенная страница ASP необходима для отслеживания имени файла предыдущей страницы.
3. Проблема утечки файла INC
Принцип атаки: когда создается домашняя страница ASP и окончательная отладка завершена, некоторые поисковые системы могут добавить ее для поиска объектов. Если кто -то использует поисковую систему для поиска этих веб -страниц в настоящее время, она получит позиционирование соответствующих файлов, и вы сможете найти детали местоположения и структуры базы данных в браузере и раскрыть полный исходный код.
Меры предосторожности: программисты должны полностью отлаживать его перед выпуском веб -страницы; Во -первых, содержимое файла .inc зашифруется, а во -вторых, вы также можете использовать файл .asp вместо файла .inc, чтобы пользователи не могли напрямую смотреть исходный код файла из браузера. Имя файла файла INC не должно использовать систему по умолчанию или имя, которое легко угадается пользователем, и пытаться как можно больше использовать нерегулярные английские буквы.
4. Автоматическое резервное копирование загружается
Принцип атаки: в некоторых инструментах редактирование программ ASP при создании или изменении файла ASP редактор автоматически создаст файл резервного копирования, например: UltraEdit будет резервным копированием. Редактор автоматически генерирует файл.
Меры предосторожности: тщательно проверяйте перед загрузкой программы для удаления ненужных документов. Будьте осторожны с файлами с Бак в качестве суффикса.
5. Специальные персонажи
Принцип атаки: входная ящик - это цель, используемая хакерами. . Все. Следовательно, ящик ввода должен быть отфильтрован. Однако, чтобы повысить эффективность входной законности только на клиенте, он все еще может быть обойден.
Навыки защиты: в программах ASP, таких как доска сообщений, BBS и другие входные ящики, лучше всего блокировать операторы HTML, JavaScript и VBScript. Полем В то же время длина входного символа ограничена. Более того, не только должны выполняться в клиенте, но и аналогичные проверки должны проводиться в программе сервера.
6. Уязвимость загрузки базы данных
Принцип атаки: при использовании Access в качестве фоновой базы данных, если кто -то знает или угадайте путь и имя базы данных базы данных доступа сервера с помощью различных методов, то он также может загрузить этот файл базы данных доступа, что очень опасно.
Навыки защиты:
(1) Получите сложное нетрадиционное имя для файла базы данных и поместите его в несколько слоев каталога. Так -называемый нетрадиционный, например, например, если есть база данных для сохранения информации о книгах, не дайте ей названия книги, но странное имя, такое как d34ksfslf.mdb, и снимается в Несколько слоев ./kdslf/i44/studi/, так что хакеры хотят получить файл базы данных доступа с помощью метода предположения.
(2) Не пишите имя базы данных в программе. Некоторым нравится писать DSN в программе, например:
Dbpath = server.mappath (cmddb.mdb)
Conn.Open Driver = {Microsoft Access Driver (*.mdb)};
Если вы получите исходную программу, имя вашей базы данных Access будет с первого взгляда. Поэтому рекомендуется установить источник данных в ODBC, а затем написать в программе:
Conn.openshujiyuan
(3) Используйте доступ для кодирования и шифрования файла базы данных. Сначала выберите базу данных (например, работодатель.mdb) в инструменте → Безопасность → база данных шифрования/дешифрования, а затем нажмите OK, а затем зашифрованное окно базы данных может быть сохранено после шифрования базы данных, которое может быть сохранено в качестве работодателя1. MDB.
Следует отметить, что приведенные выше действия не устанавливают пароль для базы данных, а только кодировать файл базы данных.
Затем мы зашифрованы для базы данных. Затем выберите инструмент таблицы функций → Security → Установите пароль базы данных, а затем введите пароль. Таким образом, даже если другие получают файл работодателя1.mdb, нет пароля, и он не может видеть контент в работодателе1.mdb.