วิธีการป้องกันแฮ็กเกอร์ได้ดีขึ้นฉันได้พูดถึงความคิดเห็นส่วนตัวของฉัน! ก่อนอื่นโปรแกรมฟรีไม่มีค่าใช้จ่าย หากคุณให้ความสนใจกับรายละเอียดความปลอดภัยของเว็บไซต์ของคุณจะได้รับการปรับปรุงอย่างมาก แม้ว่าจะมีช่องโหว่เช่นการฉีด SQL แต่ผู้โจมตีก็ไม่สามารถรับไซต์ของคุณได้ทันที
เนื่องจากความสะดวกสบายและการใช้ ASP ง่าย ๆ โปรแกรมพื้นหลังของเว็บไซต์มากขึ้นเรื่อย ๆ จึงใช้ภาษาสคริปต์ ASP อย่างไรก็ตามเนื่องจากมีช่องโหว่ด้านความปลอดภัยใน ASP ตัวเองอุบัติเหตุเล็กน้อยจะให้โอกาสแฮ็กเกอร์ ในความเป็นจริงการรักษาความปลอดภัยไม่เพียง แต่เป็นเรื่องของการจัดการเครือข่ายเท่านั้น แต่ยังต้องให้ความสนใจกับรายละเอียดความปลอดภัยบางอย่างเพื่อพัฒนานิสัยการรักษาความปลอดภัยที่ดีมิฉะนั้นพวกเขาจะนำความเสี่ยงด้านความปลอดภัยมาสู่เว็บไซต์ของพวกเขา ในปัจจุบันโปรแกรม ASP ส่วนใหญ่ในเว็บไซต์ส่วนใหญ่มีช่องโหว่ด้านความปลอดภัย แต่ถ้าคุณให้ความสนใจกับโปรแกรมคุณยังสามารถหลีกเลี่ยงได้
1. ชื่อผู้ใช้และรหัสผ่านแตก
หลักการโจมตี: ชื่อผู้ใช้และรหัสผ่านมักจะเป็นแฮ็กเกอร์ที่สนใจมากที่สุด
ข้อควรระวัง: เป็นการดีที่สุดที่จะห่อหุ้มชื่อผู้ใช้และรหัสผ่านทางฝั่งเซิร์ฟเวอร์ ชื่อผู้ใช้และรหัสผ่านที่มีจำนวนครั้งมากสามารถเขียนในไฟล์ที่ซ่อนอยู่ในตำแหน่งเดียว หากเกี่ยวข้องกับการเชื่อมต่อกับฐานข้อมูลเฉพาะการอนุญาตของขั้นตอนการจัดเก็บจะดำเนินการในสถานะอุดมคติ
2. การตรวจสอบถูกข้าม
หลักการโจมตี: โปรแกรม ASP ส่วนใหญ่ที่จำเป็นต้องได้รับการตรวจสอบในขณะนี้จะถูกเพิ่มคำตัดสินบนหัวหน้า แต่นี่ไม่เพียงพอและอาจเป็นการผ่านการตรวจสอบโดยตรงโดยแฮ็กเกอร์
ทักษะการป้องกัน: หน้า ASP ที่ได้รับการตรวจสอบจะต้องติดตามชื่อไฟล์ของหน้าก่อนหน้า
3. ปัญหาการรั่วไหลของไฟล์
หลักการโจมตี: เมื่อหน้าแรกของ ASP กำลังถูกสร้างขึ้นและการดีบักขั้นสุดท้ายเสร็จสมบูรณ์ก็สามารถเพิ่มได้โดยเครื่องมือค้นหาบางอย่างในการค้นหาวัตถุ หากมีคนใช้เครื่องมือค้นหาเพื่อค้นหาหน้าเว็บเหล่านี้ในเวลานี้มันจะได้รับตำแหน่งของไฟล์ที่เกี่ยวข้องและคุณสามารถค้นหารายละเอียดของที่ตั้งฐานข้อมูลและโครงสร้างในเบราว์เซอร์และเพื่อเปิดเผยซอร์สโค้ดที่สมบูรณ์
ข้อควรระวัง: โปรแกรมเมอร์ควรทำการดีบักอย่างสมบูรณ์ก่อนที่จะมีการเปิดตัวเว็บเพจ ก่อนอื่นเนื้อหาของไฟล์. inc ถูกเข้ารหัสและประการที่สองคุณยังสามารถใช้ไฟล์. asp แทนไฟล์. incl เพื่อให้ผู้ใช้ไม่สามารถดูซอร์สโค้ดของไฟล์โดยตรงจากเบราว์เซอร์ ชื่อไฟล์ของไฟล์ Inc ไม่ควรใช้ระบบเริ่มต้นหรือชื่อที่ผู้ใช้คาดเดาได้ง่ายและพยายามใช้ตัวอักษรภาษาอังกฤษที่ผิดปกติให้มากที่สุด
4. ดาวน์โหลดการสำรองข้อมูลอัตโนมัติ
หลักการโจมตี: ในเครื่องมือบางอย่างแก้ไขโปรแกรม ASP เมื่อสร้างหรือแก้ไขไฟล์ ASP ตัวแก้ไขจะสร้างไฟล์สำรองโดยอัตโนมัติเช่น: UltraEdit จะสำรองไฟล์. bak เช่นคุณสร้างหรือแก้ไข ame.asp Editor จะสร้างไฟล์ Some.asp.bak โดยอัตโนมัติ
ข้อควรระวัง: ตรวจสอบอย่างรอบคอบก่อนที่จะอัปโหลดโปรแกรมเพื่อลบเอกสารที่ไม่จำเป็น ระวังไฟล์ที่มี BAK เป็นคำต่อท้าย
5、特殊字符
หลักการโจมตี: กล่องอินพุตเป็นเป้าหมายที่แฮ็กเกอร์ใช้ . ทั้งหมด. ดังนั้นจึงต้องกรองกล่องอินพุต但如果为了提高效率仅在客户端进行输入合法性检查,仍有可能被绕过。
ทักษะการป้องกัน: ในโปรแกรม ASP เช่นกระดานข้อความ BBS และกล่องอินพุตอื่น ๆ เป็นการดีที่สุดที่จะบล็อก HTML, JavaScript และ VBScript .同时对输入字符的长度进行限制。而且不但要在客户端进行输入合法性检查,同时要在服务器端程序中进行类似检查。
6. ช่องโหว่ดาวน์โหลดฐานข้อมูล
攻击原理:在用Access做后台数据库时,如果有人通过各种方法知道或者猜到了服务器的Access数据库的路径和数据库名称,那么他也能够下载这个Access数据库文件,这是非常危险的。
ทักษะการป้องกัน:
(1) รับชื่อที่ไม่เป็นทางการที่ซับซ้อนสำหรับไฟล์ฐานข้อมูลของคุณและใส่ไว้ในหลายเลเยอร์ของไดเรกทอรี ตัวอย่างเช่นที่ไม่ธรรมดาเช่นถ้ามีฐานข้อมูลเพื่อบันทึกข้อมูลเกี่ยวกับหนังสืออย่าให้ชื่อหนังสือ แต่ชื่อแปลก ๆ เช่น D34KSFSLF.MDB ไม่กี่เลเยอร์ของ ./kdslf/i44/studi/ ดังนั้นแฮ็กเกอร์ต้องการให้ไฟล์ฐานข้อมูลการเข้าถึงของคุณผ่านวิธีการคาดเดา
(2) อย่าเขียนชื่อฐานข้อมูลในโปรแกรม บางคนชอบเขียน DSN ในโปรแกรมเช่น:
dbpath = server.mappath (cmddb.mdb)
conn.open driver = {Microsoft Access Driver (*.mdb)};
หากคุณได้รับโปรแกรมต้นทางชื่อฐานข้อมูลการเข้าถึงของคุณจะอยู่ได้อย่างรวดเร็ว ดังนั้นขอแนะนำให้คุณตั้งค่าแหล่งข้อมูลใน ODBC จากนั้นเขียนในโปรแกรม:
conn.openshujiyuan
(3) ใช้การเข้าถึงเพื่อเข้ารหัสและเข้ารหัสไฟล์ฐานข้อมูล First, select the database (such as Employer.mdb) in the tool → security → encryption/decryption database, and then press OK, and then the database encrypted window can be stored after the database encrypted, which can be stored as an Employer1. MDB
ควรสังเกตว่าการกระทำข้างต้นไม่ได้ตั้งรหัสผ่านสำหรับฐานข้อมูล แต่การเข้ารหัสไฟล์ฐานข้อมูลเท่านั้น
ต่อไปเราถูกเข้ารหัสสำหรับฐานข้อมูล จากนั้นเลือกเครื่องมือของตารางฟังก์ชั่น→ความปลอดภัย→ตั้งรหัสผ่านฐานข้อมูลจากนั้นป้อนรหัสผ่าน ด้วยวิธีนี้แม้ว่าคนอื่นจะได้รับไฟล์นายจ้าง 1.MDB ไม่มีรหัสผ่านและเขาไม่สามารถดูเนื้อหาใน Employer1.MDB ได้