| |
 |
最近常有朋友说自己的网站被挂马了,煞是苦恼,网站流量遭受损失不算,挂马还会给网站的用户以致命的打击,使其对你的网站彻底失去兴趣。站长做站不容易,难道一个辛辛做出来的网站,就这样完结了吗?面对挂马的挑战,我们如何来应付?
ASP开发的简易性使得越来越多的网站后台程序都使用这个脚本语言。但是, 由于ASP本身存在一定安全漏洞,稍不小心就会给黑客提供可乘之机。目前,大多数网站上的ASP程序都有这样那样的安全漏洞,但如果编写程序的时候注意一点的话,还是可以避免的。
一,免费程序被留有后门
这种方式是那些所谓免费提供程序下载的马客惯用的手段。他可以在一个很不起眼的目录或文件里留下一小段后门,或则干脆放一个ASP木马进去。所以不要轻易使用来路不明的程序,下载程序尽量去正规的大网站。如果非要使用,请仔细检查每个目录,每个文件的代码,确保万无一失。前台尽量不要留可执行程序,能生成HTM的,全生成。后台一定要目录改名,这点是很重要的这个在下面会提到。
二,后台密码被破解
有些用户在调试程序的时候把用户名和密码设置得很简单,有的甚至直接用默认的,那样是极其危险的,别人可以通过简单的猜测或简单的破解,轻易拿到权限,后果可想而知。涉及用户名与口令的程序应封装在服务器端,尽量不要在ASP文件里出现。目前比较安全的方法是,后台通过服务器端SESSION验证,密码通过MD5严格加密。
三,验证被绕过
如今的ASP程序清一色是在页面头部加一个判断语句,但这还不够,有可能被马客绕过验证直接进入。解决方法是在需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。当然,如果你后台目录改名的话,这种入侵的可能性就小很多。
四,SQL注入
ASP程序必须对某些特殊字符进行过滤,比如",程序必须判断客户端提交的数据是否符合程序要求,SQL注入漏洞可谓是“千里之堤,溃于蚁穴”。现在网上SQL通用防注入程序很多,下载一个慢慢研究把吧
五,数据库被下载
在用Access做后台数据库时,如果有人通过各种方法知道或者猜到了服务器的Access数据库的路径和数据库名称,那么他也能够下载这个Access数据库文件,这是非常危险的。解决方法,把数据库命名成ASP后缀,连接数据库的时候也不要直接把数据库名写在程序中。
还有其他一些原因,比如是主机商自己搞的鬼,ARP攻击等等,当然,这些不是本文所讨论的话题了。
|
|
|
|