首页 | 心情日记 | 建站心得 | 编程技术 | 大盘分析 | 股市信息 | 学习园地 | 电脑技巧 | 物流外贸 | 另类其它 | 站长推荐 | 给我留言 | 相册

用户登陆
用户:
密码:
 
不保存保存一天
保存一月保存一年

站点日历
73 2024 - 3 48
     12
3456789
10111213141516
17181920212223
24252627282930
31


站点统计

最新评论

日志搜索

 标题   内容


几款ASP调试软件的比较 谈谈广州的DNS以及广告的问题
未知 ASP数据库防下载防攻击终极挑战篇   [ 日期:2010-07-04 13:00:37 ]   [ 来自:本站原创 ]

海外邮件中继,海外退信中继,美国高速VPS,不限流量VPN,邮局维护和管理,邮件网关,EMOS邮件中继,POSTFIX邮件中继,Winwebmail邮件中继,Winmail邮件中继,DBMail邮件中继,JDMail邮件中继,Exchange邮件中继,MDaemon邮件中继 淘宝店:http://shantan.taobao.com 云邮科技官网:www.yunrelay.com

【字体设置:
自从接触ASP程序到现在,算算也有5年多的时间了,虽然现在还说不上是高手,但是对于程序的过滤以及检测,还是有自己的心得的,比如如何防止SQL注入啊,上传模块自动检测病毒并阻止等程序都是最新研究的成果。而对于用ACCESS为数据库ASP网站来说,安全性就不得不考虑了,如果直接用MDB格式的文件,只要知道了路径就可以下载到,后来动网出了新招,在数据库表中插入了一段二进制的未关闭的“<%”,可以防止下载,但是网上传说还是可以下载的,我自己试验了一下,好像下载不了。

后来经过学习,说后缀改为ASP或者ASA可以防止下载,于是也学着改了,但是问题更加的严重了,黑客朋友知道了路径的时候,利用一句话木马可以将整个网站的管理权拿下,这样的话网站岂不是得完蛋了?后来发现在ASP数据库里插入一个表,里面写入<%error%>文本,使用路径访问的时候,会出现error文字提示,再后来,就用<%response.redirect"error.asp"%>直接进行跳转,这样也可以防止被一句话木马的利用了。

今天,我又有了更高级的方式,那就是不使用任何的后缀名字,假如你原来的数据库是webdata.mdb或者是webdata.asp,你不防直接改为webdata即可,不加任何的后缀,这样浏览器以及下载软件访问的时候,始终将它解释为文件夹,而不是一个文件,完全可以防止被下载以及被一句话木马利用!

按此在新窗口打开图片

下面是一个测试的文件,你试试看能不能下载到【有上图为证,确实是一个文件,而不是文件夹!】

http://www.030904.com/temp/webdata

暂时没有评论
   发表评论 - 不要忘了输入验证码哦!
作者: 用户:  密码:  我要注册 验证码: 
为防止广告注册机程序,验证码不会自动显示,请点击此处显示或者(刷新)验证码!
评论:

禁止表情
禁止UBB
禁止图片
识别链接
识别关键字
确定发布?
最多可以输入200个字,目前你已经输入了0个字;你今日还可以发表10条评论!
 
   

CopyRight © 2008-2010 广东金融学院030904班 All Rights Reserved
Powered by www.030904.com