解決黑客利用漏洞攻擊的方案(黑客滲透)

發(fā)布時間：2023-08-09

本文為大家介紹解決黑客利用漏洞攻擊的方案(黑客滲透)，下面和小編一起看看詳細內(nèi)容吧。
如何更好的防止黑客攻擊！首先，不要免費使用免費程序。由于您可以共享原始代碼，因此攻擊者也可以分析代碼。如果您仔細注意預防措施，您網(wǎng)站的安全性將大大提高。即使出現(xiàn)sql injection 等漏洞，攻擊者也不可能立即關閉您的站點。由于asp的方便易用，越來越多的網(wǎng)站后臺程序采用asp腳本語言。但是，由于asp本身存在一些安全漏洞，稍有不慎就會給黑客以可乘之機。其實，安全不僅僅是網(wǎng)絡管理員的事，程序員也必須注意某些安全細節(jié)，養(yǎng)成良好的安全習慣，否則會給自己的網(wǎng)站帶來巨大的安全隱患。目前大多數(shù)網(wǎng)站上的asp程序都存在這樣或那樣的安全漏洞，但只要在編寫程序時注意一下，還是可以避免的。
1.用戶名密碼被破解
攻擊原理：用戶名和密碼往往是黑客最感興趣的，如果以某種方式看到源代碼，后果很嚴重。防范技巧：涉及用戶名和密碼的程序最好封裝在服務器端，盡量少出現(xiàn)在asp文件中，對涉及連接數(shù)據(jù)庫的用戶名和密碼賦予最少的權限。經(jīng)常出現(xiàn)的用戶名和密碼可以寫在一個相對隱蔽的include文件中。如果涉及連接數(shù)據(jù)庫，最好只給它執(zhí)行存儲過程的權限，不要直接給用戶修改、插入、刪除記錄的權限。
2.認證被繞過
攻擊原理：現(xiàn)在大部分需要驗證的asp程序都會在頁眉中添加判斷語句，但是這樣是不夠的，黑客可能會繞過驗證直接進入。
防范技巧：需要一個經(jīng)過認證的asp頁面，可以跟蹤上一頁的文件名，只有從上一頁傳來的session才能讀取這個頁面。
3.inc文件泄露問題
攻擊原理：在制作帶有asp的主頁時，在最終調(diào)試完成之前，可以自動被某些搜索引擎添加為搜索對象。如果此時有人使用搜索引擎搜索這些網(wǎng)頁，就會得到相關文件的位置，并可以在瀏覽器中查看數(shù)據(jù)庫的位置和結(jié)構(gòu)的詳細信息，從而揭示完整的源代碼。
預防提示：程序員在發(fā)布網(wǎng)頁之前應徹底調(diào)試網(wǎng)頁；安全專家需要加固asp 文件，使外部用戶無法看到它們。首先，對.inc文件的內(nèi)容進行加密，其次，使用.asp文件代替.inc文件，使用戶無法直接從瀏覽器查看文件的源代碼。 inc文件的文件名不要使用系統(tǒng)默認的或者有特殊含義容易被用戶猜到的名字，盡量使用不規(guī)則的英文字母。
4.自動備份下載
攻擊原理：在一些asp程序的編輯工具中，當創(chuàng)建或修改一個asp文件時，編輯器會自動創(chuàng)建一個備份文件，例如：ultraedit會備份一個.bak文件，如果你創(chuàng)建或修改了一些.asp，編輯器將自動生成一個名為some.asp.bak 的文件。如果不刪除這個bak文件，攻擊者可以直接下載some.asp.bak文件，從而下載some.asp的源程序。
防范提示：上傳程序前仔細檢查，刪除不需要的文件。請?zhí)貏e注意以bak 結(jié)尾的文件。
5.特殊字符
攻擊原理：輸入框是黑客利用的目標。通過輸入腳本語言對用戶客戶端造成損害；如果輸入框涉及到數(shù)據(jù)查詢，他們會使用特殊的查詢語句來獲取更多的數(shù)據(jù)庫數(shù)據(jù)，甚至是表的所有。因此，必須對輸入框進行過濾。但是如果為了提高效率只在客戶端進行輸入有效性檢查，還是有可能被繞過的。
防范技巧：在與留言板、bbs等輸入框打交道的asp程序中，最好屏蔽html、javascript、vbscript語句。如果沒有特殊要求，可以限制字母和數(shù)字的輸入，屏蔽特殊字符。同時限制輸入字符的長度。并且不僅需要在客戶端檢查輸入的合法性，在服務端程序中也需要進行類似的檢查。
6.數(shù)據(jù)庫下載漏洞
攻擊原理： 當使用access作為后臺數(shù)據(jù)庫時，如果有人通過各種方法知道或猜到服務器access數(shù)據(jù)庫的路徑和數(shù)據(jù)庫名稱，也可以下載access數(shù)據(jù)庫文件，這是非常危險的。
預防技巧：
(1)給你的數(shù)據(jù)庫文件取一個復雜的、非常規(guī)的名字，放在幾個目錄下。所謂“標新立異”，比如有一個數(shù)據(jù)庫，保存書籍的信息，不要命名為“book.mdb”，而是起一個奇怪的名字，比如d34ksfslf。 mdb，放在./kdslf/i44/studi/等幾層目錄下，這樣黑客就更難通過猜測獲取你的access數(shù)據(jù)庫文件了。
(2)不要在程序中寫數(shù)據(jù)庫名。有些人喜歡在程序中寫dsn，比如：
dbpath=server.mappath(cmddb.mdb)
conn.open “driver={microsoft access driver (*.mdb)};dbq=”dbpath
如果有人拿到源程序，你的access數(shù)據(jù)庫的名字就一目了然了。所以建議大家在odbc中設置數(shù)據(jù)源，然后在程序中這樣寫：
conn.open 書吉園
(3)使用access對數(shù)據(jù)庫文件進行編碼和加密。首先在“工具安全加密/解密數(shù)據(jù)庫”中選擇數(shù)據(jù)庫（如：employer.mdb），然后按確定，會出現(xiàn)“數(shù)據(jù)庫加密后另存為”窗口，可以另存為：
“雇主1.mdb”
要注意的是，以上的動作并不是對數(shù)據(jù)庫設置密碼，而只是對數(shù)據(jù)庫文件加以編碼，目的是為了防止他人使用別的工具來查看數(shù)據(jù)庫文件的內(nèi)容。接下來我們?yōu)閿?shù)據(jù)庫加密，首先打開經(jīng)過編碼了的 employer1.mdb，在打開時，選擇“獨占”方式。然后選取功能表的“工具→安全→設置數(shù)據(jù)庫密碼”，接著輸入密碼即可。這樣即使他人得到了employer1.mdb文件，沒有密碼他也是無法看到 employer1.mdb中的內(nèi)容。
好了，解決黑客利用漏洞攻擊的方案(黑客滲透)的介紹到這里就結(jié)束了，想知道更多相關資料可以收藏我們的網(wǎng)站。