Website -Sicherheit: Top 10 Grundprinzipien zur Verhinderung der ASP -Trojaner

Empfohlen: ASP -Instanz: Implementieren Sie Senden gewöhnlicher Anhänge und eingebettete Anhänge per E -Mail
Viele Beispiele für das Senden von E -Mails im Internet schreiben nicht über das Senden von Anhängen oder nicht darüber, wie eingebettete Anhänge gesendet werden (z. B. Anhangsbilder in HTML -Buchstaben). Tatsächlich ist es das Wichtigste, diesen Satz "JMAIL.ContentType = te" zu kommentieren

Da ASP selbst eine vom Server bereitgestellte Tribute -Service -Funktion ist, ist der ASP -Trojaner sehr versteckt und schwer zu erkennen und zu töten, was eine ernsthafte Bedrohung für die Sicherheit der Website darstellt. Daher hat die Prävention und Entfernung von ASP -Trojanern höhere technische Anforderungen für Netzwerkadministratoren vorgestellt.

Es wurde festgestellt, dass mehrere große Programme hochladen, und unzählige Mini -Programme waren noch zahlreicher, was dazu führte, dass die ASP -Trojaner den Mainstream dominierten und weit verbreitet waren. Ich glaube, wenn Sie ein Server sind, müssen Sie Kopfschmerzen dazu haben. Insbesondere haben Benutzer virtuelle Hosts auf die Erfahrung der Manipulation von Webseiten und den gelöschten Daten gestoßen. Neben dem Hass solches Verhalten haben viele Kunden unter dem Fehlen wirksamer Präventionsmaßnahmen gelitten. Angesichts der Tatsache, dass die meisten Website -Intrusionen mit ASP -Trojanern durchgeführt werden, wird dieser Artikel ausgestellt, damit gewöhnliche virtuelle Host -Benutzer ASP -Trojaner besser verstehen und verhindern können. Nur wenn Raumanbieter und virtuelle Host -Benutzer vorbeugende Maßnahmen zusammenführen, können sie ASP -Trojaner effektiv verhindern!

Lassen Sie uns zunächst darüber sprechen, wie wir es verhindern können. Wenn es um Prävention geht, müssen wir natürlich die Prinzipien der ASP -Trojaner verstehen. Ich werde nicht über die Hauptprinzipien sprechen. Einige Online -Artikel sind, einfach ausgedrückt, ASP -Trojaner sind tatsächlich in ASP geschriebene Website -Programme, und einige ASP -Trojaner werden sogar durch ASP -Website -Managementprogramme geändert. Zum Beispiel unser gemeinsamer ASP -Webmaster -Assistent usw.

Es hat keinen wesentlichen Unterschied zu anderen ASP -Programmen. Solange es ASP -Speicherplatz ausführen kann, kann es ihn ausführen. Diese Eigenschaft macht den ASP -Trojaner sehr schwer zu erkennen. Der einzige Unterschied zwischen IT und anderen ASP -Programmen besteht darin, dass der ASP -Trojan ein ASP -Programm ist, das der Eindringling in den Zielbereich hochladen und dem Eindringling den Zielraum steuern. In schwerwiegenden Fällen wird die Berechtigungen des Serveradministrators erhalten. Um den Betrieb des ASP -Trojaner zu verbieten, ist es gleichbedeutend mit dem Betrieb des ASP. Offensichtlich ist das nicht machbar. Dies ist auch der Grund, warum die ASP -Trojaner weit verbreitet sind! Jemand fragt, gibt es keine Möglichkeit? Nein, es gibt einen Weg:

Erstens: Wie hat der Eindringling den ASP -Trojaner ausgeladen? Es gibt mehrere allgemeine Methoden: Erhalten Sie Administratorberechtigungen über die SQL -Injektion und schreiben Sie den ASP -Trojaner über die Sicherungsdatenbankfunktion auf den Server. Oder geben Sie den Hintergrund ein, um die Upload -Funktion des ASP -Programms zu verwenden, Trojaner hochzuladen usw. Unter normalen Umständen haben diese ASP -Programme, die Dateien hochladen, Berechtigungsbeschränkungen, und die meisten von ihnen begrenzen auch das Hochladen von ASP -Dateien. (Zum Beispiel: Eine Pressemitteilung, mit der Bilder, Bildverwaltungsprogramme und ein Forum -Programm hochgeladen werden können, das mehr Dateien usw. hochladen kann.) Wenn wir einen ASP -Trojaner direkt hochladen, werden wir feststellen, dass das Programm auffordert, dass es nicht direkt hochgeladen werden kann. Aufgrund der künstlichen ASP -Einstellungsfehler und Lücken im ASP -Programm selbst können die Eindringlinge jedoch die Möglichkeit nutzen, einen ASP -Trojaner hochzuladen.

Daher ist der Schlüssel zur Verhinderung der ASP -Trojaner, wie virtuelle Hostbenutzer die Sicherheit von ASP -Upload -Programmen in ihrem Raum sicherstellen. Wenn Sie die Programme anderer Personen verwenden, versuchen Sie, berühmtere große Programme zu verwenden, damit natürlich weniger Schwachstellen vorhanden sind, und versuchen Sie, die neueste Version so weit wie möglich zu verwenden. Sie sollten häufig auf die offizielle Website gehen, um neue Versionen oder die neuesten Patches sowie die Standardpfade der Datenbank und das Standard -Administratorkennwort anzuzeigen. Sie müssen sie ändern, um eine Gewohnheit zu bilden, um die Sicherheit des Programms sicherzustellen.

Wenn Sie also ein Programmierer sind, möchte ich sagen, dass wir auch versuchen sollten, Programme mit Benutzernamen und Passwörtern aus einer Sicherheitssicht auf das Website -Programm zu schreiben und auf der Serverseite verpackt zu werden und in der ASP -Datei so wenig wie möglich erscheinen sollte. Die in der Datenbankverbindung beteiligten Benutzernamen und Passwörter sollten die Mindestberechtigungen erhalten. Eine verifizierte ASP -Seite kann den Dateinamen der vorherigen Seite verfolgen, und nur die von der vorherige Seite übertragene Sitzung kann diese Seite lesen. Verhindern Sie das Leck von ASP -Homepage.inc -Dateien; Verhindern Sie, dass das Leck einiger.

Die oben genannten sind nur einige Anforderungen für Kunden, aber da Space -Anbieter nicht vorhersehen können, welche Art von Programmen der virtuelle Host -Benutzer auf seiner Website hochladen und ob jedes Programm Schwachstellen hat, können sie nicht verhindern, dass Eindringlinge die Schwachstellen des Kundenprogramms selbst auf der Website verwenden, um den ASP -Trojan hochzuladen. Space -Zitate können nur Eindringlinge daran hindern, die gehackte Site zu verwenden, um andere Websites wieder auf demselben Server zu hacken. Dies zeigt auch, dass virtuelle Host -Benutzer, um ASP -Trojaner zu verhindern, ihre eigenen Programme strikt steuern müssen! Aus diesem Grund habe ich die zehn wichtigsten Prinzipien für die ASP -Trojaner -Prävention als Referenz zusammengefasst:

Anteil: 10 Erfahrungen in der ASP -Entwicklung
Nach einem halben Jahr habe ich das Managementinformationssystem einer Einheit auf Büroebene abgeschlossen und insgesamt 29 Beta-Versionen und 3 offizielle Versionen veröffentlicht. ASP Oracle -Umgebung, 285 ASP -Dateien, Funktionen umfassen Dateneingabe, Änderung, Fuzzy -Abfrage, automatische Statistiken, Datenanalyse und Berichterstattung.