首頁(yè)?>?知識(shí)?資訊?>?網(wǎng)站建設(shè)安全--防范遠(yuǎn)程注入攻擊?>?正文

網(wǎng)站建設(shè)安全--防范遠(yuǎn)程注入攻擊

2010/3/27 0:00:00 · 稿源:傳誠(chéng)信
網(wǎng)站建設(shè)安全--防范遠(yuǎn)程注入攻擊

  這類攻擊在以前應(yīng)該是比較常見(jiàn)的攻擊方式,比如POST攻擊,攻擊者可以隨便的改變要提交的數(shù)據(jù)值已達(dá)到攻擊目的.又如:COOKIES 的偽造,這一點(diǎn)更值得引起程序編寫(xiě)者或站長(zhǎng)的注意,不要使用COOKIES來(lái)做為用戶驗(yàn)證的方式,否則你和把鑰匙留給賊是同一個(gè)道理.

  比如:

以下是引用片段:
  If trim(Request. cookies ("uname"))="fqy" and Request.cookies("upwd") ="fqy#e3i5.com" then?
……..more………?
End if?


  我想各位站長(zhǎng)或者是喜好寫(xiě)程序的朋友千萬(wàn)別出這類錯(cuò)誤,真的是不可饒恕.偽造COOKIES 都多少年了,你還用這樣的就不能怪別人跑你的密碼.涉及到用戶密碼或者是用戶登陸時(shí),你最好使用session 它才是最安全的.如果要使用COOKIES就在你的COOKIES上多加一個(gè)信息,SessionID,它的隨機(jī)值是64位的,要猜解它,不可能.例:

以下是引用片段:
  if not (rs.BOF or rs.eof) then?
login="true"?
Session("username"&sessionID) = Username?
Session("password"& sessionID) = Password?
'Response.cookies("username")= Username?
'Response.cookies("Password")= Password?


  
下面我們來(lái)談?wù)勅绾畏婪哆h(yuǎn)程注入攻擊,一般的攻擊都是將單表提交文件拖到本地,將Form ACTION="chk.asp" 指向你服務(wù)器中處理數(shù)據(jù)的文件即可.如果你全部的數(shù)據(jù)過(guò)濾都在單表頁(yè)上,那么恭喜你,你將已經(jīng)被腳本攻擊了.

  怎么才能制止這樣的遠(yuǎn)程攻擊?好辦,請(qǐng)看代碼如下: 程序體(9)

  
以下是引用片段:
<%?
server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))?
server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))?
if mid(server_v1,8,len(server_v2))<>server_v2 then?
response.write "

"?
response.write " "?
response.write "你提交的路徑有誤,禁止從站點(diǎn)外部提交數(shù)據(jù)請(qǐng)不要亂改參數(shù)!"?
response.write ""?
response.end?
end if?
%>?


  '個(gè)人感覺(jué)上面的代碼過(guò)濾不是很好,有一些外部提交竟然還能堂堂正正的進(jìn)來(lái),于是再寫(xiě)一個(gè).

  '這個(gè)是過(guò)濾效果很好,建議使用.

  
if instr(request.servervariables("http_referer"),"http://"&request.servervariables("host") )<1 then response.write "處理 URL 時(shí)服務(wù)器上出錯(cuò)。

  如果您是在用任何手段攻擊服務(wù)器,那你應(yīng)該慶幸,你的所有操作已經(jīng)被服務(wù)器記錄,我們會(huì)第一時(shí)間通知公安局與國(guó)家安全部門(mén)來(lái)調(diào)查你的IP. "

  
以下是引用片段:
response.end?
end if?

  • 網(wǎng)站建設(shè)安全--數(shù)據(jù)庫(kù)下載漏洞
  • 網(wǎng)站建設(shè)安全--特殊字符
  • 網(wǎng)站建設(shè)安全--自動(dòng)備份被下載
  • 網(wǎng)站建設(shè)安全之inc文件泄露問(wèn)題
  • 網(wǎng)站建設(shè)安全之驗(yàn)證被繞過(guò)

    • ?

    選擇北京網(wǎng)站建設(shè)公司-傳誠(chéng)信,優(yōu)質(zhì)服務(wù),絕對(duì)不容錯(cuò)過(guò) !
    1. 優(yōu)秀的網(wǎng)絡(luò)資源,穩(wěn)定的網(wǎng)站和速度保證?
    配送雙線獨(dú)立ip空間,國(guó)際A級(jí)BGP機(jī)房,99.5% 的主機(jī)在線時(shí)間)?
    2. 7年北京網(wǎng)站建設(shè)經(jīng)驗(yàn),優(yōu)秀的技術(shù)和設(shè)計(jì)水平,更放心?
    3. 全程省心服務(wù),不必?fù)?dān)心自己不懂網(wǎng)絡(luò),更省心。?

    -----------------------------------------------------------------------------------------------------
    我們的與眾不同之處:

    ??? 免費(fèi)網(wǎng)絡(luò)營(yíng)銷顧問(wèn):我們?yōu)槟峁┟赓M(fèi)的網(wǎng)絡(luò)營(yíng)銷顧問(wèn)服務(wù),您需要了解關(guān)于如何開(kāi)展網(wǎng)絡(luò)營(yíng)銷,電子商務(wù),網(wǎng)站設(shè)計(jì)等的事宜,歡迎隨時(shí)聯(lián)系我們。

    ??? seo友好的網(wǎng)站管理系統(tǒng):除了優(yōu)質(zhì)的網(wǎng)站空間,網(wǎng)站管理系統(tǒng),和網(wǎng)站設(shè)計(jì)外,我們的網(wǎng)站管理系統(tǒng)更是seo友好的,包括:自定義欄目名,Google Sitemap自動(dòng)生成,靜態(tài)頁(yè)面生成等等,讓您的網(wǎng)站。

    ???? 免費(fèi)網(wǎng)絡(luò)營(yíng)銷培訓(xùn):如何更好的投放網(wǎng)絡(luò)廣告,如何提高網(wǎng)絡(luò)廣告的投資回報(bào),如何發(fā)帖子,
    ??? ?如何優(yōu)化網(wǎng)站,我們有豐富的經(jīng)驗(yàn)開(kāi)放給您!祝君成功!

    聯(lián)系我們:010-62199213 62122723-808 賈先生
    北京網(wǎng)站建設(shè)公司-傳誠(chéng)信網(wǎng)站:www.94883.cn?點(diǎn)擊查看經(jīng)典網(wǎng)站案例!

    北京傳誠(chéng)信網(wǎng)站建設(shè)2010年建站套餐及優(yōu)惠!點(diǎn)擊查看!

    • 相關(guān)推薦
    • 大家在看
    關(guān)鍵詞:
    熱文
    • 熱門(mén)
    • 最新
    客戶服務(wù)
    咨詢熱線

    010-62199213

    24小時(shí)咨詢熱線

    139-1050-5354