杜绝入侵：八大法则防范ASP网站漏洞（2）

您现在的位置： ASP技术网 >> ASP学习 >> ASP安全加密 >> 文章正文

没有公告

热门文章

	在ASP中使用SQL 任何熟悉SQL和关系数据库的人都遇见过大量的连接类型。最简……
	十天学会ASP之第学习目的：掌握ACCESS数据库的连接和读取记录……
	十天学会ASP之第学习目的：学会ACCEES数据库的使用，并建立一……
	十天学会ASP之第学习目的：学会用表单元素向服务器传送变量，然后显……

专题栏目

杜绝入侵：八大法则防范ASP网站漏洞（2）

作者：未知文章来源：aspjs 点击数：更新时间：2005-11-28

4、自动备份被下载

攻击原理：在有些编辑ASP程序的工具中，当创建或者修改一个ASP文件时，编辑器自动创建一个备份文件，比如：UltraEdit就会备份一个.bak文件，如你创建或者修改了some.asp，编辑器会自动生成一个叫some.asp.bak文件，如果你没有删除这个bak文件，攻击者可以直接下载some.asp.bak文件，这样some.asp的源程序就会被下载。

防范技巧：上传程序之前要仔细检查，删除不必要的文档。对以BAK为后缀的文件要特别小心。

5、特殊字符

攻击原理：输入框是黑客利用的一个目标，他们可以通过输入脚本语言等对用户客户端造成损坏；如果该输入框涉及数据查询，他们会利用特殊查询语句，得到更多的数据库数据，甚至表的全部。因此必须对输入框进行过滤。但如果为了提高效率仅在客户端进行输入合法性检查，仍有可能被绕过。

防范技巧：在处理类似留言板、BBS等输入框的ASP程序中，最好屏蔽掉HTML、JavaScript、VBScript语句，如无特殊要求，可以限定只允许输入字母与数字，屏蔽掉特殊字符。同时对输入字符的长度进行限制。而且不但要在客户端进行输入合法性检查，同时要在服务器端程序中进行类似检查。

6、数据库下载漏洞

攻击原理：在用Access做后台数据库时，如果有人通过各种方法知道或者猜到了服务器的Access数据库的路径和数据库名称，那么他也能够下载这个Access数据库文件，这是非常危险的。

【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

文章录入：admin 责任编辑：admin

上一篇文章：杜绝入侵：八大法则防范ASP网站漏洞（1）

下一篇文章：杜绝入侵：八大法则防范ASP网站漏洞（3）

>>>关键词列表
域名注册申请	.cn域名注册	.com域名注册	虚拟主机	asp空间	域名空间代理	深圳虚拟主机	深圳网站建设
英文域名申请注册	中文域名申请	[域名主机]申请	[ASP空间]申请	HTML虚拟主机申请	ASP.Net虚拟主机申请	学生虚拟主机[ASP空间]申请	FTP空间申请
MS SQL数据库空间申请	个人主页空间申请	网站建设	网站推广	3721网络实名	虚拟主机管理系统	域名空间代理	域名空间

网友评论：（只显示最新10条。评论内容只代表网友观点，与本站立场无关！）

去论坛聊聊

站内文章搜索