asp网站防御思想
一直以来,asp给人的印象都是不太安全,实则不然。脚本语言和数据库本身并没有过错。
asp脚本的安全隐患在于管理员的不重视和对asp脚本的不了解,实际上只要使用得当,asp脚本其实可以很安全。
首先要谈到的就是注入,关于要如何过滤asp脚本注入,已经不是第一次提到了,但想要过滤非法字符这也不是意见简单的事。
防止了Get、post提交方式注入,还要记得过滤Cookie注入:防止了数字型、字符型注入,还要记得防止搜索型注入:防止了常规的非法字符,还要防范编码和大小写转换等情况。
还有表名、字段名的选取问题,很多情况下注入者大都不知道什么是表名和字段名的。可是很多程序员们都喜欢用admin、manage、user、pass、password、username等容易被猜到的表名和字段名,导致asp脚本变得极度不安全。
其实,只要在所有表名上加个简单的前缀(如aaa-admin),就可以有效的防止被人猜到。也不影响正常的使用,何乐而不为呢?
另外,还要防止暴库,对密码进行MD5加密、修改默认数据库路径、常给网站程序打补丁、不用sa权限连接数据库、删除SQL server的存储扩展以及禁止非法IP连接1433端口,这些都是举手之劳,但是却可以极大提升asp网站的安全性!
一般来讲,入侵比防守容易,管理一个网站的传统方法需要同时满足很多条件,入侵只要破坏其中一个条件就能够入侵网站,所以防御是对安全性的重视和耐心!
评论