自助购买VIP收藏本站将本站放到桌面
开启辅助访问 购买锦尚中国空间免费安装程序 请联系QQ278869155
源码论坛公告:本站是一个交流学习建站资源的社区论坛,旨在交流学习源码脚本等资源技术,欢迎大家投稿发言! 【点击此处将锦尚放在桌面

源码论坛,商业源码下载,尽在锦尚中国商业源码论坛

 找回密码
 会员注册

QQ登录

只需一步,快速开始

源码论坛,商业源码下载,尽在锦尚中国商业源码论坛»论坛 站长交流 站长杂谈 ASP网站的漏洞检测与防范
返回列表 发新帖
查看: 1203|回复: 4
打印 上一主题 下一主题

ASP网站的漏洞检测与防范

[复制链接]
m8i4n2g6

75

主题

78

帖子

256

金币

初级会员

Rank: 1

积分
710
跳转到指定楼层
1#
发表于 2011-3-8 11:00:30 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
虽然JSP语言网站的已经开始在互联网里面盛行,但目前依然很多的网站采取基于ASP和Access的架构来组建的,并且很多采取在网上直接下载模板来构建。
由于ASP本身存在一些安全漏洞,稍不小心就可能给攻击者提供可乘之机。目前ASP+ACCESS网站的主要安全隐患来自Access数据库的安全性,还有ASP网页设计过程中没有把很多关键词进行过滤。故做好ASP网站的漏洞的检测和防御很有必要性的。

一、漏洞检测
针对网站的漏洞检测,我们需要一个网站漏洞检测工具来帮忙检测漏洞。
在这采取最近挺流行的在线漏洞扫描工具——亿思平台。由于是亿思是web应用平台,我们只需要将网站提交上去扫描就可以,这样可以省去在电脑上扫描的时间。
简单说一下操作,首先通过帐号登录其官网(http://www.iiscan.com)把要扫描的网站提交上去,里面有好几种漏洞策略提供扫描的,为扫描更全面,选择“ALL”就可以啦。扫描完就可以查看其网站的漏洞种类。
二、 漏洞解析
1、 用户名与口令被无限制 
用户名与口令,往往是攻击者们最感兴趣的东西,如果被通过某种方式看到源代码,后果是严重的,我们的网站很快就会被攻击者占据。
2、 ASP上传漏洞
有些网站允许用户上传文件,但必需对这些上传文件十分小心,为什么论坛程序被攻破后主机也随之被攻击者占据。原因就在于可能存在ASP木马,它能把一个文件随便放到你论坛的程序中,进而整个网站被攻击者占据。   
3、 inc文件泄露问题
当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。
4、 特殊字符  输入框是黑客利用的一个目标,他们可以通过输入脚本语言等对用户客户端造成损坏;如果该输入框涉及数据查询,他们会利用特殊查询语句,得到更多的数据库数据,甚至表的全部。因此必须对输入框进行过滤。但如果为了提高效率仅在客户端进行输入合法性检查,仍有可能被绕过。
5、 Access数据库的存储隐患 在ASP+Access应用系统中,如果获得或者猜到Access数据库的存储路径和数据库名,则该数据库就可以被下载到本地。例如:对于网上书店的Access数据库,人们一般命名为book.mdb、store.mdb等,而存储的路径一般为“URL/database”或干脆放在根目录(“URL/”)下。这样,只要在浏览器地址栏中敲入地址:“URL/database/store.mdb”,就可以轻易地把store.mdb下载到本地的机器中。
三、 防范对策
1、 防止泄露源代码 涉及用户名与口令的程序最好封装在服务器端,尽量少在ASP文件里出现,涉及与数据库连接的用户名与口令应给予最小的权限。出现次数多的用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及与数据库连接,在理想状态下只给它以执行存储过程的权限,千万不要直接给予该用户修改、插入、删除记录的权限。
2、 限制上传文件格式为了防止ASP木马被上传到服务器,
3、 加密inc文件程序员应该在网页发布前对它进行彻底的调试还必需加固ASP文件以便外部的用户不能看到它们。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件使用户无法从浏览器直接观看文件的源代码。inc文件的文件名不要使用系统默认的或者有特殊含义容易被用户猜测到的名称,尽量使用无规则的英文字母。
4、 屏蔽某些特殊的语名和字符在处理类似留言板、BBS等输入框的ASP程序中,最好屏蔽掉HTML、JavaScript、VBScript语句,如无特殊要求,可以限定只允许输入字母与数字,屏蔽掉特殊字符。同时对输入字符的长度进行限制。对输入的字符不但要在客户端进行输入合法性检查,同时要在服务器端程序中进行类似检查。
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享
回复

举报

hzzwjx

11

主题

36

帖子

15

金币

初级会员

Rank: 1

积分
101
2#
发表于 2011-3-9 11:51:41 | 只看该作者
为了不扰乱会员对源码的测试,有问题咨询右侧客服不要直接回复,否则视为非法信息屏蔽会员ID!
不错分享










-----------------------------------------------------------------------------------------------------------------------
www.2sxhj.com www.nfrzs.com www.dehuihz.com www.hzguangsheng.cn www.wxds6666.com
回复

举报

大西瓜

3

主题

17

帖子

12

金币

初级会员

Rank: 1

积分
53
3#
发表于 2011-3-9 14:54:42 | 只看该作者
为了不扰乱会员对源码的测试,有问题咨询右侧客服不要直接回复,否则视为非法信息屏蔽会员ID!
防止泄露源代码 涉及用户名与口令的程序最好封装在服务器端。。。LED天花灯 中医治疗肝硬化治疗
肝硬化最好的药治疗
肝硬化最好的医院治疗
肝硬化用什么药最好
养生美容加盟
拖车绳丝网花材料批发LED电子显示屏皮具加盟品牌大运会
广州超声波
LED照明工程
LED照明生产厂家
英式插座
美孚润滑油报价
广告气球
气球厂家
精品货架
订做文件柜
回复

举报

hungchia实名认证

26

主题

7641

帖子

2400

金币

中级会员

Rank: 3Rank: 3

积分
10529
4#
发表于 2011-7-20 17:28:47 | 只看该作者
为了不扰乱会员对源码的测试,有问题咨询右侧客服不要直接回复,否则视为非法信息屏蔽会员ID!
桐乡外卖网 http://www.txwaimai.com
嘉兴外卖网 http://www.jxwaimai.com   
嘉兴交友网 http://www.jxyuan.com
绵阳房产网 http://www.myfcw.cn  
禾城主机   http://www.cn0573.net
嘉兴QQ群   http://qqun.cn0573.net  
桐乡做网站 http://im.cn0573.net
回复

举报

hungchia实名认证

26

主题

7641

帖子

2400

金币

中级会员

Rank: 3Rank: 3

积分
10529
5#
发表于 2011-7-21 23:54:30 | 只看该作者
为了不扰乱会员对源码的测试,有问题咨询右侧客服不要直接回复,否则视为非法信息屏蔽会员ID!
桐乡外卖网 http://www.txwaimai.com
嘉兴外卖网 http://www.jxwaimai.com   
嘉兴交友网 http://www.jxyuan.com
绵阳房产网 http://www.myfcw.cn  
禾城主机   http://www.cn0573.net
嘉兴QQ群   http://qqun.cn0573.net  
桐乡做网站 http://im.cn0573.net
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 会员注册

本版积分规则

锦尚中国源码论坛

聚合标签|锦尚中国,为中国网站设计添动力 ( 鲁ICP备09033200号 ) |网站地图

GMT+8, 2024-11-16 15:37 , Processed in 0.121074 second(s), 25 queries .

带宽由 锦尚数据 提供 专业的数据中心

© 锦尚中国源码论坛 52jscn Inc. 非法入侵必将受到法律制裁 法律顾问:IT法律网 & 褚福省律师 锦尚爱心 版权申诉 版权与免责声明