[探讨][老话题]ASP如何确保安全性...
asp写的程序,安全性最重要.
如何确保ASP网站的安全性,大家讨论下.WIN服务器和IIS就不用考虑了,我们只讨论ASP程序本身.
我先说4点.
1.确保上传功能的安全
2.所有POST,GET,COOKIES得到的数据都进行编码,替换掉SQL字符
3.避免逻辑错误(绕过密码验证)
4.禁止从外部提交数据.
欢迎大家讨论.
[解决办法]
我觉的安不安全不是语言本身决定的,微软的操作系统还有漏洞呢
[解决办法]
ASP刚学不久,,不太清楚。。。
[解决办法]
关注
[解决办法]
学习~
[解决办法]
1.写完后将数据库名称修改为一个复杂的.
2.防止跨站.
3.防止%5c爆出数据库地址.
最重要的一点,百密必有一疏,写程序的人的思维和习惯最重要,当然服务器管理员的作用也不容小视.
[解决办法]
ASP的漏洞已被挖的很深,存在安全隐患最大的还是系统漏洞
[解决办法]
顶,是个头疼的问题~~~
[解决办法]
上传功能 漏洞是最大问题,呵呵;
[解决办法]
把数据库扩展名改成.asp,然后数据库名字前加#
[解决办法]
正在学,关注下
[解决办法]
安全性依赖编码人的素质。
[解决办法]
最好把数据库文件隐藏的深一些,再换成类似这样的,../fdasf/fdjsa2345/jfowie/# ffjko123.asp这样好些。
[解决办法]
入门选手.....遥望.....
[解决办法]
1.确保上传功能的安全
--------------------------------------
这个限制上传类型基本就可以了
--------------------------------------
2.所有POST,GET,COOKIES得到的数据都进行编码,替换掉SQL字符
3.避免逻辑错误(绕过密码验证)
-------------------------------------
这两个可以用一个通用的函数过滤敏感字符
Public Function Checkstr(Str)
If Isnull(Str) Then
CheckStr = " "
Exit Function
End If
Str = Replace(Str,Chr(0), " ")
CheckStr = Replace(Str, " ' ", " ' ' ")
End Function
Sql = "Select * Form [Table] Where Para= ' "& CheckStr(Request( "aaa ")) & " ' "
-------------------------------------
4.禁止从外部提交数据.
-------------------------------------
判断访问来源就行了
[解决办法]
继续关注
星级人物怎么没来顶贴
[解决办法]
学习中
[解决办法]
顶下吧,学习中
[解决办法]
现在sql用户多还是ac多?
[解决办法]
禁止外部提交没有作用,关键还是做好程序验证。
[解决办法]
mark
[解决办法]
如果只考虑语言漏洞.
那么ASP最致命的便是 \0 字符漏洞..
这点做好了.那么也就差不多了.
[解决办法]
sql注入。
貌似只有这些了。
至于逻辑错误啥的,不只是asp,是所有语言都应该避免的
------解决方案--------------------
不要相信任何数据.
*****************************************************************************
用功譬若掘井,与其多掘数井而皆不及泉,何若老守一井,力求及泉而用之不竭乎?
[解决办法]
难啊!
[解决办法]
最安全应是没有功能的程序...
[解决办法]
从攻击角度来看
1,80%以上来自注入(SQL Injection),所以表名,列名最好不是常用的,但仍然可以被穷举出的,并适当过滤常用注入字符和转义前常用注入字符。
2,保证数据库地址不容易被轻易穷举出
3,cookies验证欺骗
4,部分可以做到Session欺骗
5,无弱管理/用户密码(8位以下纯数字或纯字母)
6,再就是上传,严格控制上传格式,并给服务器上的上传保存文件夹去除执行权限,还有就是上面mrshelly的提到的利用/0上传图片执行ASP效果
做到以上几点及楼主事先提到的
基本可以避免不具有原创能力的号称黑客的角色来访
[解决办法]
此外
百度一下历代著名程序(powereasy,dvbbs,oblog,bbsxp)版本的漏洞
也可以得到不少启示和提示
