|
如何更好的達到防范黑客攻擊���,本人提一下個人意見!第一,免費程序不要真的就免費用��,既然你可以共享原碼���,那么攻擊者一樣可以分析代碼���。如果在細節(jié)上注意防范,那樣你站點的安全性就大大的提高了����。即使出現(xiàn)了SQL Injection這樣的漏洞,攻擊者也不可能馬上拿下你的站點�。
由于ASP的方便易用,越來越多的網(wǎng)站后臺程序都使用ASP腳本語言����。但是����, 由于ASP本身存在一些安全漏洞�����,稍不小心就會給黑客提供可乘之機����。事實上,安全不僅是網(wǎng)管的事�����,編程人員也必須在某些安全細節(jié)上注意���,養(yǎng)成良好的安全習(xí)慣��,否則會給自己的網(wǎng)站帶來巨大的安全隱患���。目前����,大多數(shù)網(wǎng)站上的ASP程序有這樣那樣的安全漏洞���,但如果編寫程序的時候注意一點的話,還是可以避免的�。
1、用戶名與口令被破解
攻擊原理:用戶名與口令�,往往是黑客們最感興趣的東西,如果被通過某種方式看到源代碼��,后果是嚴重的���。
防范技巧:涉及用戶名與口令的程序最好封裝在服務(wù)器端��,盡量少在ASP文件里出現(xiàn)����,涉及與數(shù)據(jù)庫連接的用戶名與口令應(yīng)給予最小的權(quán)限�。出現(xiàn)次數(shù)多的用戶名與口令可以寫在一個位置比較隱蔽的包含文件中。如果涉及與數(shù)據(jù)庫連接��,在理想狀態(tài)下只給它以執(zhí)行存儲過程的權(quán)限���,千萬不要直接給予該用戶修改��、插入��、刪除記錄的權(quán)限���。
2����、驗證被繞過
攻擊原:現(xiàn)在需要經(jīng)過驗證的ASP程序大多是在頁面頭部加一個判斷語句���,但這還不夠�����,有可能被黑客繞過驗證直接進入�����。
防范技巧:需要經(jīng)過驗證的ASP頁面����,可跟蹤上一個頁面的文件名���,只有從上一頁面轉(zhuǎn)進來的會話才能讀取這個頁面�。
3、Inc文件泄露問題
攻擊原理:當存在ASP的主頁正在制作且沒有進行最后調(diào)試完成以前��,可以被某些搜索引擎機動追加為搜索對象����。如果這時候有人利用搜索引擎對這些網(wǎng)頁進行查找�����,會得到有關(guān)文件的定位��,并能在瀏覽器中查看到數(shù)據(jù)庫地點和結(jié)構(gòu)的細節(jié)�,并以此揭示完整的源代碼。
防范技巧:程序員應(yīng)該在網(wǎng)頁發(fā)布前對它進行徹底的調(diào)試;安全專家則需要加固ASP文件以便外部的用戶不能看到它們����。首先對.inc文件內(nèi)容進行加密,其次也可以使用.asp文件代替.inc文件使用戶無法從瀏覽器直接觀看文件的源代碼���。inc文件的文件名不要使用系統(tǒng)默認的或者有特殊含義容易被用戶猜測到的名稱��,盡量使用無規(guī)則的英文字母���。
(更多詳情�����,可以咨詢QQ530997)
本文出自:億恩科技【mszdt.com】
(更多詳情��,可以咨詢QQ530997)
本文出自:億恩科技【mszdt.com】
-->
服務(wù)器租用/服務(wù)器托管中國五強�����!虛擬主機域名注冊頂級提供商����!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
