1、修改網站後台的用戶名和密碼及後台的默認路徑。
2、更改資料庫名,如果是ACCESS資料庫,那文件的擴展名最好不要用mdb,改成ASP的,文件名也可以多幾個特殊符號。
3、接著檢查一下網站有沒有注入漏洞或跨站漏洞,如果有的話就相當打上防注入或防跨站補丁。
4、檢查一下網站的上傳文件,常見了有欺騙上傳漏洞,就對相應的代碼進行過濾。
5、盡可能不要暴露網站的後台地址,以免被社會工程學猜解出管理用戶和密碼。
6、寫入一些防掛馬代碼,讓框架代碼等掛馬無效。
7、禁用FSO許可權也是一種比較絕的方法。
8、修改網站部分文件夾的讀寫許可權。
9、如果你是自己的伺服器,那就不僅要對你的網站程序做一下安全了,而且要對你的伺服器做一下安全也是很有必要了!也可以通過安全公司來解決,國內也就Sinesafe和綠盟等安全公司比較專業.
10.自定義404頁面及自定義傳送ASP錯誤信息
404能夠讓駭客批量查找你的後台一些重要文件及檢查網頁是否存在注入漏洞。
ASP錯誤嘛,可能會向不明來意者傳送對方想要的信息。
11.慎重選擇網站程序
注意一下網站程序是否本身存在漏洞,好壞你我心裡該有把秤。
12.謹慎上傳漏洞
據悉,上傳漏洞往往是最簡單也是最嚴重的,能夠讓黑客或駭客們輕松控制你的網站。
可以禁止上傳或著限制上傳的文件類型。不懂的話可以找專業做網站安全的sinesafe公司。
13. cookie 保護
登陸時盡量不要去訪問其他站點,以防止 cookie 泄密。切記退出時要點退出在關閉所有瀏覽器。
14.目錄許可權
請管理員設置好一些重要的目錄許可權,防止非正常的訪問。如不要給上傳目錄執行腳本許可權及不要給非上傳目錄給於寫入權。
Ⅱ 常見的操作系統漏洞有哪些怎麼解決
再強大再安全的 操作系統 ,也會出現一些漏洞從而被病毒攻擊。那麼如何解決漏洞被攻擊的問題呢?下面由我整理了常見的操作系統漏洞及解決 方法 ,希望對你有幫助。
常見的操作系統漏洞及解決方法
常見的操作系統漏洞一、 SQL注入漏洞
SQL注入攻擊(SQL Injection),簡稱注入攻擊、SQL注入,被廣泛用於非法獲取網站控制權,是發生在應用程序的資料庫層上的安全漏洞。在設計程序,忽略了對輸入字元串中夾帶的SQL指令的檢查,被資料庫誤認為是正常的SQL指令而運行,從而使資料庫受到攻擊,可能導致數據被竊取、更改、刪除,以及進一步導致網站被嵌入惡意代碼、被植入後門程序等危害。
通常情況下,SQL注入的位置包括:
(1)表單提交,主要是POST請求,也包括GET請求;
(2)URL參數提交,主要為GET請求參數;
(3)Cookie參數提交;
(4)HTTP請求頭部的一些可修改的值,比如Referer、User_Agent等;
(5)一些邊緣的輸入點,比如.mp3文件的一些文件信息等。
SQL注入的危害不僅體現在資料庫層面上,還有可能危及承載資料庫的操作系統;如果SQL注入被用來掛馬,還可能用來傳播惡意軟體等,這些危害包括但不局限於:
(1)資料庫信息泄漏:資料庫中存放的用戶的隱私信息的泄露。作為數據的存儲中心,資料庫里往往保存著各類的隱私信息,SQL注入攻擊能導致這些隱私信息透明於攻擊者。
(2)網頁篡改:通過操作資料庫對特定網頁進行篡改。
(3)網站被掛馬,傳播惡意軟體:修改資料庫一些欄位的值,嵌入網馬鏈接,進行掛馬攻擊。
(4)資料庫被惡意操作:資料庫伺服器被攻擊,資料庫的系統管理員帳戶被篡改。
(5)伺服器被遠程式控制制,被安裝後門。經由資料庫伺服器提供的操作系統支持,讓黑客得以修改或控制操作系統。
(6)破壞硬碟數據,癱瘓全系統。
解決SQL注入問題的關鍵是對所有可能來自用戶輸入的數據進行嚴格的檢查、對資料庫配置使用最小許可權原則。 通常使用的方案有:
(1)所有的查詢語句都使用資料庫提供的參數化查詢介面,參數化的語句使用參數而不是將用戶輸入變數嵌入到SQL語句中。當前幾乎所有的資料庫系統都提供了參數化SQL語句執行介面,使用此介面可以非常有效的防止SQL注入攻擊。
(2)對進入資料庫的特殊字元('"<>&*;等)進行轉義處理,或編碼轉換。
(3)確認每種數據的類型,比如數字型的數據就必須是數字,資料庫中的存儲欄位必須對應為int型。
(4)數據長度應該嚴格規定,能在一定程度上防止比較長的SQL注入語句無法正確執行。
(5)網站每個數據層的編碼統一,建議全部使用UTF-8編碼,上下層編碼不一致有可能導致一些過濾模型被繞過。
(6)嚴格限制網站用戶的資料庫的操作許可權,給此用戶提供僅僅能夠滿足其工作的許可權,從而最大限度的減少注入攻擊對資料庫的危害。
(7)避免網站顯示SQL錯誤信息,比如類型錯誤、欄位不匹配等,防止攻擊者利用這些錯誤信息進行一些判斷。
(8)在網站發布之前建議使用一些專業的SQL注入檢測工具進行檢測,及時修補這些SQL注入漏洞。
常見的操作系統漏洞二、 跨站腳本漏洞
跨站腳本攻擊(Cross-site scripting,通常簡稱為XSS)發生在客戶端,可被用於進行竊取隱私、釣魚欺騙、竊取密碼、傳播惡意代碼等攻擊。
XSS攻擊使用到的技術主要為HTML和javascript,也包括VBScript和ActionScript等。XSS攻擊對WEB伺服器雖無直接危害,但是它藉助網站進行傳播,使網站的使用用戶受到攻擊,導致網站用戶帳號被竊取,從而對網站也產生了較嚴重的危害。
XSS類型包括:
(1)非持久型跨站:即反射型跨站腳本漏洞,是目前最普遍的跨站類型。跨站代碼一般存在於鏈接中,請求這樣的鏈接時,跨站代碼經過服務端反射回來,這類跨站的代碼不存儲到服務端(比如資料庫中)。上面章節所舉的例子就是這類情況。
(2)持久型跨站:這是危害最直接的跨站類型,跨站代碼存儲於服務端(比如資料庫中)。常見情況是某用戶在論壇發貼,如果論壇沒有過濾用戶輸入的Javascript代碼數據,就會導致其他瀏覽此貼的用戶的瀏覽器會執行發貼人所嵌入的Javascript代碼。
(3)DOM跨站(DOM XSS):是一種發生在客戶端DOM(Document Object Model文檔對象模型)中的跨站漏洞,很大原因是因為客戶端腳本處理邏輯導致的安全問題。
XSS的危害包括:
(1)釣魚欺騙:最典型的就是利用目標網站的反射型跨站腳本漏洞將目標網站重定向到釣魚網站,或者注入釣魚JavaScript以監控目標網站的表單輸入,甚至發起基於DHTML更高級的釣魚攻擊方式。
(2)網站掛馬:跨站時利用IFrame嵌入隱藏的惡意網站或者將被攻擊者定向到惡意網站上,或者彈出惡意網站窗口等方式都可以進行掛馬攻擊。
(3)身份盜用:Cookie是用戶對於特定網站的身份驗證標志,XSS可以盜取到用戶的Cookie,從而利用該Cookie盜取用戶對該網站的操作許可權。如果一個網站管理員用戶Cookie被竊取,將會對網站引發巨大的危害。
(4)盜取網站用戶信息:當能夠竊取到用戶Cookie從而獲取到用戶身份使,攻擊者可以獲取到用戶對網站的操作許可權,從而查看用戶隱私信息。
(5)垃圾信息發送:比如在SNS社區中,利用XSS漏洞借用被攻擊者的身份發送大量的垃圾信息給特定的目標群。
(6)劫持用戶Web行為:一些高級的XSS攻擊甚至可以劫持用戶的Web行為,監視用戶的瀏覽歷史,發送與接收的數據等等。
(7)XSS蠕蟲:XSS 蠕蟲可以用來打 廣告 、刷流量、掛馬、惡作劇、破壞網上數據、實施DDoS攻擊等。
常用的防止XSS技術包括:
(1)與SQL注入防護的建議一樣,假定所有輸入都是可疑的,必須對所有輸入中的script、iframe等字樣進行嚴格的檢查。這里的輸入不僅僅是用戶可以直接交互的輸入介面,也包括HTTP請求中的Cookie中的變數,HTTP請求頭部中的變數等。
(2)不僅要驗證數據的類型,還要驗證其格式、長度、范圍和內容。
(3)不要僅僅在客戶端做數據的驗證與過濾,關鍵的過濾步驟在服務端進行。
(4)對輸出的數據也要檢查,資料庫里的值有可能會在一個大網站的多處都有輸出,即使在輸入做了編碼等操作,在各處的輸出點時也要進行安全檢查。
(5)在發布應用程序之前測試所有已知的威脅。
常見的操作系統漏洞三、 弱口令漏洞
弱口令(weak password) 沒有嚴格和准確的定義,通常認為容易被別人(他們有可能對你很了解)猜測到或被解除工具解除的口令均為弱口令。設置密碼通常遵循以下原則:
(1)不使用空口令或系統預設的口令,這些口令眾所周之,為典型的弱口令。
(2)口令長度不小於8個字元。
(3)口令不應該為連續的某個字元(例如:AAAAAAAA)或重復某些字元的組合(例如:tzf.tzf.)。
(4)口令應該為以下四類字元的組合,大寫字母(A-Z)、小寫字母(a-z)、數字(0-9)和特殊字元。每類字元至少包含一個。如果某類字元只包含一個,那麼該字元不應為首字元或尾字元。
(5)口令中不應包含本人、父母、子女和配偶的姓名和出生日期、紀念日期、登錄名、E-mail地址等等與本人有關的信息,以及字典中的單詞。
(6)口令不應該為用數字或符號代替某些字母的單詞。
(7)口令應該易記且可以快速輸入,防止他人從你身後很容易看到你的輸入。
(8)至少90天內更換一次口令,防止未被發現的入侵者繼續使用該口令。
常見的操作系統漏洞四、 HTTP報頭追蹤漏洞
HTTP/1.1(RFC2616)規范定義了HTTP TRACE方法,主要是用於客戶端通過向Web伺服器提交TRACE請求來進行測試或獲得診斷信息。當Web伺服器啟用TRACE時,提交的請求頭會在伺服器響應的內容(Body)中完整的返回,其中HTTP頭很可能包括Session Token、Cookies或 其它 認證信息。攻擊者可以利用此漏洞來欺騙合法用戶並得到他們的私人信息。該漏洞往往與其它方式配合來進行有效攻擊,由於HTTP TRACE請求可以通過客戶瀏覽器腳本發起(如XMLHttpRequest),並可以通過DOM介面來訪問,因此很容易被攻擊者利用。
防禦HTTP報頭追蹤漏洞的方法通常禁用HTTP TRACE方法。
常見的操作系統漏洞五、 Struts2遠程命令執行漏洞
Apache Struts是一款建立Java web應用程序的開放源代碼架構。Apache Struts存在一個輸入過濾錯誤,如果遇到轉換錯誤可被利用注入和執行任意Java代碼。
網站存在遠程代碼執行漏洞的大部分原因是由於網站採用了Apache Struts Xwork作為網站應用框架,由於該軟體存在遠程代碼執高危漏洞,導致網站面臨安全風險。CNVD處置過諸多此類漏洞,例如:「GPS車載衛星定位系統」網站存在遠程命令執行漏洞(CNVD-2012-13934);Aspcms留言本遠程代碼執行漏洞(CNVD-2012-11590)等。
修復此類漏洞,只需到Apache官網升級Apache Struts到最新版本:http://struts.apache.org
常見的操作系統漏洞六、 框架釣魚漏洞(框架注入漏洞)
框架注入攻擊是針對Internet Explorer 5、Internet Explorer 6、與 Internet Explorer 7攻擊的一種。這種攻擊導致Internet Explorer不檢查結果框架的目的網站,因而允許任意代碼像Javascript或者VBScript跨框架存取。這種攻擊也發生在代碼透過多框架注入,肇因於腳本並不確認來自多框架的輸入。這種其他形式的框架注入會影響所有的不確認不受信任輸入的各廠商瀏覽器和腳本。
如果應用程序不要求不同的框架互相通信,就可以通過完全刪除框架名稱、使用匿名框架防止框架注入。但是,因為應用程序通常都要求框架之間相互通信,因此這種方法並不可行。 因此,通常使用命名框架,但在每個會話中使用不同的框架,並且使用無法預測的名稱。一種可行的方法是在每個基本的框架名稱後附加用戶的會話令牌,如main_display。
常見的操作系統漏洞七、 文件上傳漏洞
文件上傳漏洞通常由於網頁代碼中的文件上傳路徑變數過濾不嚴造成的,如果文件上傳功能實現代碼沒有嚴格限制用戶上傳的文件後綴以及文件類型,攻擊者可通過 Web 訪問的目錄上傳任意文件,包括網站後門文件(webshell),進而遠程式控制制網站伺服器。
因此,在開發網站及應用程序過程中,需嚴格限制和校驗上傳的文件,禁止上傳惡意代碼的文件。同時限制相關目錄的執行許可權,防範webshell攻擊。
常見的操作系統漏洞八、 應用程序測試腳本泄露
由於測試腳本對提交的參數數據缺少充分過濾,遠程攻擊者可以利用洞以WEB進程許可權在系統上查看任意文件內容。防禦此類漏洞通常需嚴格過濾提交的數據,有效檢測攻擊。
常見的操作系統漏洞九、 私有IP地址泄露漏洞
IP地址是網路用戶的重要標示,是攻擊者進行攻擊前需要了解的。獲取的方法較多,攻擊者也會因不同的網路情況採取不同的方法,如:在區域網內使用Ping指令,Ping對方在網路中的名稱而獲得IP;在Internet上使用IP版的QQ直接顯示。最有效的辦法是截獲並分析對方的網路數據包。攻擊者可以找到並直接通過軟體解析截獲後的數據包的IP包頭信息,再根據這些信息了解具體的IP。
針對最有效的「數據包分析方法」而言,就可以安裝能夠自動去掉發送數據包包頭IP信息的一些軟體。不過使用這些軟體有些缺點,譬如:耗費資源嚴重,降低計算機性能;訪問一些論壇或者網站時會受影響;不適合網吧用戶使用等等。現在的個人用戶採用最普及隱藏IP的方法應該是使用代理,由於使用代理伺服器後,「轉址服務」會對發送出去的數據包有所修改,致使「數據包分析」的方法失效。一些容易泄漏用戶IP的網路軟體(QQ、MSN、IE等)都支持使用代理方式連接Internet,特別是QQ使用「ezProxy」等代理軟體連接後,IP版的QQ都無法顯示該IP地址。雖然代理可以有效地隱藏用戶IP,但攻擊者亦可以繞過代理,查找到對方的真實IP地址,用戶在何種情況下使用何種方法隱藏IP,也要因情況而論。
常見的操作系統漏洞十、 未加密登錄請求
由於Web配置不安全,登陸請求把諸如用戶名和密碼等敏感欄位未加密進行傳輸,攻擊者可以竊聽網路以劫獲這些敏感信息。建議進行例如SSH等的加密後再傳輸。
常見的操作系統漏洞十一、 敏感信息泄露漏洞
SQL注入、XSS、目錄遍歷、弱口令等均可導致敏感信息泄露,攻擊者可以通過漏洞獲得敏感信息。針對不同成因,防禦方式不同。
Ⅲ 網站有漏洞怎麼修復啊,我的網站被掛馬了,怎麼辦有檢測的地方嗎
用sinesafe網站掛馬檢測工具。
建站一段時間後總能聽得到什麼什麼網站被掛馬,什麼網站被黑。好像入侵掛馬似乎是件很簡單的事情。其實,入侵不簡單,簡單的是你的網站的必要安全措施並未做好。
有條件建議找專業做網站安全的sine安全來做安全維護。
一:掛馬預防措施:
1、建議用戶通過ftp來上傳、維護網頁,盡量不安裝asp的上傳程序。
2、定期對網站進行安全的檢測,具體可以利用網上一些工具,如sinesafe網站掛馬檢測工具!
3、asp程序管理員的用戶名和密碼要有一定復雜性,不能過於簡單,還要注意定期更換。
4、到正規網站下載asp程序,下載後要對其資料庫名稱和存放路徑進行修改,資料庫文件名稱也要有一定復雜性。
5、要盡量保持程序是最新版本。
6、不要在網頁上加註後台管理程序登陸頁面的鏈接。
7、為防止程序有未知漏洞,可以在維護後刪除後台管理程序的登陸頁面,下次維護時再通過ftp上傳即可。
8、要時常備份資料庫等重要文件。
9、日常要多維護,並注意空間中是否有來歷不明的asp文件。記住:一分汗水,換一分安全!
10、一旦發現被入侵,除非自己能識別出所有木馬文件,否則要刪除所有文件。
11、對asp上傳程序的調用一定要進行身份認證,並只允許信任的人使用上傳程序。這其中包括各種新聞發布、商城及論壇。
二:掛馬恢復措施:
1.修改帳號密碼
不管是商業或不是,初始密碼多半都是admin。因此你接到網站程序第一件事情就是「修改帳號密碼」。
帳號密碼就不要在使用以前你習慣的,換點特別的。盡量將字母數字及符號一起。此外密碼最好超過15位。尚若你使用SQL的話應該使用特別點的帳號密碼,不要在使用什麼什麼admin之類,否則很容易被入侵。
2.創建一個robots.txt
Robots能夠有效的防範利用搜索引擎竊取信息的駭客。
3.修改後台文件
第一步:修改後台里的驗證文件的名稱。
第二步:修改conn.asp,防止非法下載,也可對資料庫加密後在修改conn.asp。
第三步:修改ACESS資料庫名稱,越復雜越好,可以的話將數據所在目錄的換一下。
4.限制登陸後台IP
此方法是最有效的,每位虛擬主機用戶應該都有個功能。你的IP不固定的話就麻煩點每次改一下咯,安全第一嘛。
7.謹慎上傳漏洞
據悉,上傳漏洞往往是最簡單也是最嚴重的,能夠讓黑客或駭客們輕松控制你的網站。
可以禁止上傳或著限制上傳的文件類型。不懂的話可以找專業做網站安全的sinesafe公司。
8. cookie 保護
登陸時盡量不要去訪問其他站點,以防止 cookie 泄密。切記退出時要點退出在關閉所有瀏覽器。
9.目錄許可權
請管理員設置好一些重要的目錄許可權,防止非正常的訪問。如不要給上傳目錄執行腳本許可權及不要給非上傳目錄給於寫入權。
10.自我測試
如今在網上黑客工具一籮筐,不防找一些來測試下你的網站是否OK。
11.例行維護
a.定期備份數據。最好每日備份一次,下載了備份文件後應該及時刪除主機上的備份文件。
b.定期更改資料庫的名字及管理員帳密。
c.借WEB或FTP管理,查看所有目錄體積,最後修改時間以及文件數,檢查是文件是否有異常,以及查看是否有異常的賬號。
網站被掛馬一般都是網站程序存在漏洞或者伺服器安全性能不達標被不法黑客入侵攻擊而掛馬的。
網站被掛馬是普遍存在現象然而也是每一個網站運營者的心腹之患。
您是否因為網站和伺服器天天被入侵掛馬等問題也曾有過想放棄的想法呢,您否也因為不太了解網站技術的問題而耽誤了網站的運營,您是否也因為精心運營的網站反反復復被一些無聊的黑客入侵掛馬感到徬彷且很無耐。有條件建議找專業做網站安全的sine安全來做安全維護
Ⅳ 網站後台系統的安全漏洞都有哪些
ASP漏洞大全 Microsoft Active Server Pages(ASP)是伺服器端腳本編寫環境,使用棗鉛它可以創建和運行動態、交互的 Web 伺服器應用程序。使用 ASP 可以組合侍沒 HTML 頁 、腳本命令和 ActiveX 組件以創建交互的 Web 頁和基於 Web 的功能強大的應用程序。 現在很多網站特別是電子商務方面的網站,在前台上大都用ASP來實現。以至於現在ASP在網站應用上很普遍。 ASP是開發網站應用的快速工具,但是有些網站管理員只看到ASP的快速開發能力,卻忽視了ASP安全問題。ASP從一開始就一直受到眾多漏洞,後門的困擾,包括%81的噩夢,密碼驗證問題,IIS漏洞等等都一直使ASP網站開發人員心驚膽跳。 本文試圖從開放了ASP服務的操作系統漏洞和ASP程序本身漏洞,闡述ASP安全問題,並給出解決方法或者建議。 ASP工作機理 Active Server Page技術為應用開發商提供了基於腳本的直觀、快速、高效的應用開發手段,極大地提高了開發的效果。在討論ASP的安全性問題之前,讓我們來看看ASP是怎麼工作的。ASP腳本是採用明文(plain text)方式來編寫的。 ASP腳本是一系列按特定語法(目前支持vbscript和jscript兩種腳本語言)編寫的,與標准HTML頁面混合在一起的腳本所構成的文本格式的文件。當客戶端的最終用戶用WEB瀏覽器通過INTERNET來訪問基於ASP腳本的應用時,WEB瀏覽器將向WEB伺服器發出HTTP請求。WEB伺服器分析、判斷出該請求是ASP腳本的應用後,自動通過ISAPI介面調用ASP腳本的解釋運行引擎(ASP.DLL)。ASP.DLL將從文件系統或內部緩沖區獲取指定的ASP腳本文件,接著就進行語法分析並解釋執行。最終的處理結果將形成HTML格式的內容,通過WEB伺服器"原路"返回給WEB瀏覽器,由WEB瀏覽器在客戶端形成最終的結果呈現。這樣就完成了一次完整的ASP腳本調用。若干個有機的ASP腳本調用就組成了一個完整的ASP腳本應凳談好用。 讓我們來看看運行ASP所需的環境: Microsoft Internet Information Server 3.0/4.0/5.0 on NT Server Microsoft Internet Information Server 3.0/4.0/5.0 on Win2000 Microsoft Personal Web Server on Windows 95/98 WINDOWS NT Option Pack所帶的Microsoft IIS提供了強大的功能,但是IIS在網路安全方面卻是比較危險的。因為很少有人會用Windows 95/98當伺服器,因此本文我更多的從NT中的IIS安全問題來探討。 微軟自稱的ASP的安全優點 雖然我們本文的重點是探討ASP漏洞和後門,但是有必要談談ASP在網路安全方面的"優點",之所以加個"",是因為有時這些微軟宣稱的"優點"恰恰是其安全隱犯。微軟稱ASP在網路安全方面一大優點就是用戶不能看到ASP的源程序, 從ASP的原理上看,ASP在服務端執行並解釋成標準的HTML語句,再傳送給客戶端瀏覽器。"屏蔽"源程序能很好的維護ASP開發人員的版權,試想你辛辛苦苦做了一個很優秀的程序,給人任意COPY,你會怎麼想?而且黑客還能分析你的ASP程序,挑出漏洞。更重要的是有些ASP開發者喜歡把密碼,有特權的用戶名和路徑直接寫在程序中,這樣別人通過猜密碼,猜路徑,很容易找到攻擊系統的"入口"。但是目前已經發現了很多能查看ASP源程序的漏洞,後面我們還要討論。 IIS支持虛擬目錄,通過在"伺服器屬性"對話框中的"目錄"標簽可以管理虛擬目錄。建立虛擬目錄對於管理WEB站點具有非常重要的意義。虛擬目錄隱藏了有關站點目錄結構的重要信息。因為在瀏覽器中,客戶通過選擇"查看源代碼",很容易就能獲取頁面的文件路徑信息,如果在WEB頁中使用物理路徑,將暴露有關站點目錄的重要信息,這容易導致系統受到攻擊。其次,只要兩台機器具有相同的虛擬目錄,你就可以在不對頁面代碼做任何改動的情況下,將WEB頁面從一台機器上移到另一台機器。還有就是,當你將WEB頁面放置於虛擬目錄下後,你可以對目錄設置不同的屬性,如:Read、Excute、Script。讀訪問表示將目錄內容從IIS傳遞到瀏覽器。而執行訪問則可以使在該目錄內執行可執行的文件。當你需要使用ASP時,就必須將你存放.asp文件的目錄設置為"Excute(執行)"。建議大家在設置WEB站點時,將HTML文件同ASP文件分開放置在不同的目錄下,然後將HTML子目錄設置為"讀",將ASP子目錄設置為"執行",這不僅方便了對WEB的管理,而且最重要的提高了ASP程序的安全性,防止了程序內容被客戶所訪問。 ASP漏洞分析和解決方法 有人說一台不和外面聯系的電腦是最安全的電腦,一個關閉所有埠,不提供任何服務的電腦也是最安全的。黑客經常利用我們所開放的埠實施攻擊,這些攻擊最常見的是DDOS(拒絕服務攻擊).下面我會列出ASP的二十幾個漏洞,每個漏洞都會有漏洞描述和解決方法。 1 在ASP程序後加個特殊符號,能看到ASP源程序 受影響的版本: win95+pws IIS3.0 98+pws4 不存在這個漏洞。 IIS4.0以上的版本也不存在這個漏洞。 問題描述: 這些特殊符號包括小數點,%81, :: http://someurl/somepage.asp. http:// someurl/somepage.asp%81 http:// someurl/somepage.asp:: http:// someurl/somepage.asp %2e http:// someurl/somepage %2e%41sp http:// someurl/somepage%2e%asp http:// someurl/somepage.asp %2e http://someurl/msadc/samples/selector/showcode.asp?source=/msadc/samples/../../../../../../boot.ini (可以看到boot.ini的文件內容) 那麼在安裝有IIS3.0和win95+PWS的瀏覽中就很容易看到somepage.asp的源程序。究竟是什麼原因造成了這種可怕的漏洞呢?究其根源其實是 Windows NT 特有的文件系統在做怪。有一點常識的人都知道在 NT 提供了一種完全不同於 FAT 的文件系統:NTFS,這種被稱之為新技術文件系統的技術使得 NT 具有了較高的安全機制,但也正是因為它而產生了不少令人頭痛的隱患。大家可能不知道, NTFS 支持包含在一個文件中 的多數據流,而這個包含了所有內容的主數據流被稱之為"DATA",因此使得在瀏覽器 里直接訪問 NTFS 系統的這個特性而輕易的捕獲在文件中的腳本程序成為了可能。然而 直接導致 :: 的原因是由於 IIS 在解析文件名的時候出了問題,它沒有很好地規範文件名。 解決方法和建議: 如果是Winodws NT用戶,安裝IIS4.0或者IIS5.0,Windows2000不存在這個問題。如果是win95用戶,安裝WIN98和PWS4.0。 2 ACCESS mdb 資料庫有可能被下載的漏洞 問題描述: 在用ACCESS做後台資料庫時,如果有人通過各種方法知道或者猜到了伺服器的ACCESS資料庫的路徑和資料庫名稱,那麼他能夠下載這個ACCESS資料庫文件,這是非常危險的。比如:如果你的ACCESS資料庫book.mdb放在虛擬目錄下的database目錄下,那麼有人在瀏覽器中打入: http:// someurl/database/book.mdb 如果你的book.mdb資料庫沒有事先加密的話,那book.mdb中所有重要的數據都掌握在別人的手中。 解決方法: (1) 為你的資料庫文件名稱起個復雜的非常規的名字,並把他放在幾目錄下。所謂"非常規",打個比方:比如有個資料庫要保存的是有關書籍的信息,可不要把他起個"book.mdb"的名字,起個怪怪的名稱,比如d34ksfslf.mdb,再把他放在如./kdslf/i44/studi/ 的幾層目錄下,這樣黑客要想通過猜的方式得到你的ACCESS資料庫文件就難上加難了。 (2)不要把資料庫名寫在程序中。有些人喜歡把DSN寫在程序中,比如: DBPath = Server.MapPath("cmddb.mdb") conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath 假如萬一給人拿到了源程序,你的ACCESS資料庫的名字就一覽無余。因此建議你在ODBC里設置數據源,再在程序中這樣寫:conn.open "shujiyuan" (3)使用ACCESS來為資料庫文件編碼及加密。首先在選取"工具->安全->加密/解密資料庫,選取資料庫(如:employer.mdb),然後接確定,接著會出現"資料庫加密後另存為"的窗口,存為:employer1.mdb。接著employer.mdb就會被編碼,然後存為employer1.mdb..要注意的是,以上的動作並不是對資料庫設置密碼,而只是對資料庫文件加以編碼,目的是為了防止他人使用別的工具來查看資料庫文件的內容。 接下來我們為資料庫加密,首先以打開經過編碼了的employer1.mdb,在打開時,選擇"獨占"方式。然後選取功能表的"工具->安全->設置資料庫密碼",接著輸入密碼即可。為employer1.mdb設置密碼之後,接下來如果再使用ACCEES資料庫文件時,則ACCESS會先要求輸入密碼,驗證正確後才能夠啟動資料庫。不過要在ASP程序中的connection對象的open方法中增加PWD的參數即可,例如: param="driver={Microsoft Access Driver (*.mdb)};Pwd=yfdsfs" param=param&";dbq="&server.mappath("employer1.mdb") conn.open param 這樣即使他人得到了employer1.mdb文件,沒有密碼他是無法看到employer1.mdb的。 3 code.asp文件會泄漏ASP代碼 問題描述: 舉個很簡單的例子,在微軟提供的 ASP1.0 的常式里有一個 .asp 文件 ,專門用來查看其它 .asp 文件的源代碼,該文件為 ASPSamp/Samples/code.asp。如果有人把這個程序上傳到伺服器,而伺服器端沒有任何防範措施的話,他就可以很容易地查看他人的程序。例如 : code.asp?source=/directory/file.asp 不過這是個比較舊的漏洞了,相信現在很少會出現這種漏洞。 下面這命令是比較新的: http://someurl/iissamples/exair/howitworks/code.asp?/lunwen/soushuo.asp=xxx.asp 最大的危害莫過於asa文件可以被上述方式讀出;資料庫密碼以明文形式暴露在黑客眼前; 問題解決或建議: 對於IIS自帶的show asp code的asp程序文件,刪除該文件或者禁止訪問該目錄即可 4、filesystemobject 組件篡改下載 fat 分區上的任何文件的漏洞 問題描述: IIS3、 IIS4 的 ASP 的文件操作都可以通過 filesystemobject 實現,包括文本文件的讀寫目錄操作、文件的拷貝改名刪除等,但是這個強大的功能也留下了非常危險的 "後門"。利用 filesystemobjet 可以篡改下載 fat 分區上的任何文件。即使是 ntfs 分區,如果許可權沒有設定好的話,同樣也能破壞,一不小心你就可能遭受"滅頂之災 "。遺憾的是很多 webmaster 只知道讓 web 伺服器運行起來,很少對 ntfs 進行許可權 設置,而 NT 目錄許可權的默認設置偏偏安全性又低得可怕。因此,如果你是 Webmaster ,建議你密切關注伺服器的設置,盡量將 web 目錄建在 ntfs 分區上,目錄不要設定 everyone full control,即使是是管理員組的成員一般也沒什麼必要 full control,只要有讀取、更改許可權就足夠了。 也可以把filesystemobject的組件刪除或者改名。 5、輸入標準的HTML語句或者javascript語句會改變輸出結果 問題描述: 在輸入框中打入標準的HTML語句會得到什麼相的結果呢? 比如一個留言本,我們留言內容中打入: 你好! 如果你的ASP程序中沒有屏蔽html語句,那麼就會改變"你好"字體的大小。在留言本中改變字體大小和貼圖有時並不是什麼壞事,反而可以使留言本生動。但是如果在輸入框中寫個 javascript 的死循環,比如:特大新聞 那麼其他查看該留言的客人只要移動滑鼠到"特大新聞",上就會使用戶的瀏覽器因死循環而死掉。 解決方法和建議: 編寫類似程序時應該做好對此類操作的防範,譬如可以寫一段程序判斷客戶端的輸入,並屏蔽掉所有的 HTML、 Javascrip
Ⅳ 網站存在後台登陸地址漏洞怎麼修復
打開騰訊電腦管家——工具箱——修復漏洞,進行漏洞掃描和修復。
建議設置開啟自動修復漏洞功能,開啟後,電腦管家可以在發現高危漏洞(僅包括高危漏洞,不包括其它漏洞)時,第一時間自動進行修復,無需用戶參與,最大程度保證用戶電腦安全。尤其適合老人、小孩或計算機初級水平用戶使用。開啟方式如下:進入電腦管家「修復漏洞」模塊—「設置」,點擊開啟自動修復漏洞即可。
Ⅵ 為什麼網站後台管理系統總是出現網頁上有錯誤
以下是最有可能的所有原因及解決措施:
1、網站系統暫時繁忙導致的系統延遲,就像我們不可能每時每刻都能正常發帖一樣,有一個緩沖期。
2、您的電腦看看網路電纜旦塵和寬頻連接接好了沒有,檢查一下是不是有故障。
3、電腦硬碟的兆遲穗垃圾文件過多族卜,直接佔用內存,導致打開其他網頁的速度過慢
4、電腦系統漏洞忘了及時修復,導致病毒蔓延,直接影響網速。
5、可能是您的電腦操作系統問題,建議從新安裝系統
6、網站自身系統維護中,需要過一段時間才能正常看到
以上是最完整的原因及解決方法,望樓主參考,祝您好運,O(∩_∩)O謝謝