本文为大家介绍解决黑客利用漏洞攻击的方案(黑客渗透),下面和小编一起看看详细内容吧。
如何更好的防止黑客攻击!首先,不要免费使用免费程序。由于您可以共享原始代码,因此攻击者也可以分析代码。如果您仔细注意预防措施,您网站的安全性将大大提高。即使出现sql injection 等漏洞,攻击者也不可能立即关闭您的站点。由于asp的方便易用,越来越多的网站后台程序采用asp脚本语言。但是,由于asp本身存在一些安全漏洞,稍有不慎就会给黑客以可乘之机。其实,安全不仅仅是网络管理员的事,程序员也必须注意某些安全细节,养成良好的安全习惯,否则会给自己的网站带来巨大的安全隐患。目前大多数网站上的asp程序都存在这样或那样的安全漏洞,但只要在编写程序时注意一下,还是可以避免的。
1.用户名密码被破解
攻击原理:用户名和密码往往是黑客最感兴趣的,如果以某种方式看到源代码,后果很严重。防范技巧:涉及用户名和密码的程序最好封装在服务器端,尽量少出现在asp文件中,对涉及连接数据库的用户名和密码赋予最少的权限。经常出现的用户名和密码可以写在一个相对隐蔽的include文件中。如果涉及连接数据库,最好只给它执行存储过程的权限,不要直接给用户修改、插入、删除记录的权限。
2.认证被绕过
攻击原理:现在大部分需要验证的asp程序都会在页眉中添加判断语句,但是这样是不够的,黑客可能会绕过验证直接进入。
防范技巧:需要一个经过认证的asp页面,可以跟踪上一页的文件名,只有从上一页传来的session才能读取这个页面。
3.inc文件泄露问题
攻击原理:在制作带有asp的主页时,在最终调试完成之前,可以自动被某些搜索引擎添加为搜索对象。如果此时有人使用搜索引擎搜索这些网页,就会得到相关文件的位置,并可以在浏览器中查看数据库的位置和结构的详细信息,从而揭示完整的源代码。
预防提示:程序员在发布网页之前应彻底调试网页;安全专家需要加固asp 文件,使外部用户无法看到它们。首先,对.inc文件的内容进行加密,其次,使用.asp文件代替.inc文件,使用户无法直接从浏览器查看文件的源代码。 inc文件的文件名不要使用系统默认的或者有特殊含义容易被用户猜到的名字,尽量使用不规则的英文字母。
4.自动备份下载
攻击原理:在一些asp程序的编辑工具中,当创建或修改一个asp文件时,编辑器会自动创建一个备份文件,例如:ultraedit会备份一个.bak文件,如果你创建或修改了一些.asp,编辑器将自动生成一个名为some.asp.bak 的文件。如果不删除这个bak文件,攻击者可以直接下载some.asp.bak文件,从而下载some.asp的源程序。
防范提示:上传程序前仔细检查,删除不需要的文件。请特别注意以bak 结尾的文件。
5.特殊字符
攻击原理:输入框是黑客利用的目标。通过输入脚本语言对用户客户端造成损害;如果输入框涉及到数据查询,他们会使用特殊的查询语句来获取更多的数据库数据,甚至是表的所有。因此,必须对输入框进行过滤。但是如果为了提高效率只在客户端进行输入有效性检查,还是有可能被绕过的。
防范技巧:在与留言板、bbs等输入框打交道的asp程序中,最好屏蔽html、javascript、vbscript语句。如果没有特殊要求,可以限制字母和数字的输入,屏蔽特殊字符。同时限制输入字符的长度。并且不仅需要在客户端检查输入的合法性,在服务端程序中也需要进行类似的检查。
6.数据库下载漏洞
攻击原理: 当使用access作为后台数据库时,如果有人通过各种方法知道或猜到服务器access数据库的路径和数据库名称,也可以下载access数据库文件,这是非常危险的。
预防技巧:
(1)给你的数据库文件取一个复杂的、非常规的名字,放在几个目录下。所谓“标新立异”,比如有一个数据库,保存书籍的信息,不要命名为“book.mdb”,而是起一个奇怪的名字,比如d34ksfslf。 mdb,放在./kdslf/i44/studi/等几层目录下,这样黑客就更难通过猜测获取你的access数据库文件了。
(2)不要在程序中写数据库名。有些人喜欢在程序中写dsn,比如:
dbpath=server.mappath(cmddb.mdb)
conn.open “driver={microsoft access driver (*.mdb)};dbq=”dbpath
如果有人拿到源程序,你的access数据库的名字就一目了然了。所以建议大家在odbc中设置数据源,然后在程序中这样写:
conn.open 书吉园
(3)使用access对数据库文件进行编码和加密。首先在“工具安全加密/解密数据库”中选择数据库(如:employer.mdb),然后按确定,会出现“数据库加密后另存为”窗口,可以另存为:
“雇主1.mdb”
要注意的是,以上的动作并不是对数据库设置密码,而只是对数据库文件加以编码,目的是为了防止他人使用别的工具来查看数据库文件的内容。接下来我们为数据库加密,首先打开经过编码了的 employer1.mdb,在打开时,选择“独占”方式。然后选取功能表的“工具→安全→设置数据库密码”,接着输入密码即可。这样即使他人得到了employer1.mdb文件,没有密码他也是无法看到 employer1.mdb中的内容。
好了,解决黑客利用漏洞攻击的方案(黑客渗透)的介绍到这里就结束了,想知道更多相关资料可以收藏我们的网站。