Direkomendasikan: VBScript Pemula Tutorial: Pengantar VBScript Sebelum belajar VBScript, Anda harus memiliki pengetahuan tentang HTML dan CSS untuk memastikan bahwa Anda dapat menulis halaman web dengan mahir. Pengantar VBScript VBScript adalah bahasa skrip yang dapat digunakan untuk skrip klien dari browser IE Microsoft dan Microsoft IIS (Informasi Internet)
Mengingat bahwa sebagian besar intrusi situs web dilakukan dengan menggunakan ASP Trojans, artikel ini ditampilkan untuk memungkinkan pengguna host virtual biasa untuk lebih memahami dan mencegah ASP Trojans. Hanya ketika penyedia ruang dan pengguna host virtual mengambil tindakan pencegahan bersama -sama mereka dapat secara efektif mencegah asp trojans!
1. Apa itu Asp Trojan?
Ini sebenarnya adalah program situs web yang ditulis dalam ASP, dan beberapa ASP Trojans bahkan dimodifikasi oleh program manajemen situs web ASP.
Ini tidak memiliki perbedaan penting dari program ASP lainnya. Selama dapat menjalankan ruang ASP, ia dapat menjalankannya. Properti ini membuat Asp Trojan sangat sulit dideteksi. Satu -satunya perbedaan antara TI dan program ASP lainnya adalah bahwa ASP Trojan adalah program ASP yang diunggah oleh Intruder ke ruang target dan membantu penyusup mengontrol ruang target. Untuk melarang asp trojan berjalan setara dengan melarang menjalankan ASP. Jelas ini tidak berhasil, yang juga menjadi alasan mengapa ASP Trojan merajalela!
2. Prinsip Invasi
Untuk menyerang, Anda harus mengunggah Asp Trojan ke ruang target, yang sangat penting!
Jadi bagaimana pengganggu mengunggah asp trojan?
Sungguh ironis bahwa penyusup sebagian besar menggunakan program ASP yang ada dengan fungsi unggah di ruang target untuk mengimplementasikannya. Dalam keadaan normal, program ASP ini yang dapat mengunggah file memiliki batasan izin, dan sebagian besar juga membatasi unggahan file ASP. (Misalnya: rilis berita yang dapat mengunggah gambar, program manajemen gambar, dan program forum yang dapat mengunggah lebih banyak jenis file, dll.) Namun, karena kesalahan pengaturan ASP buatan dan celah dalam program ASP itu sendiri, pengganggu dapat mengambil keuntungan dari kesempatan untuk mengunggah Trojan ASP. Selama ASP Trojan diunggah ke ruang target, penyusup dapat menjalankannya untuk menyelesaikan kendali ruang target.
Oleh karena itu, kunci untuk mencegah ASP Trojans adalah bagaimana pengguna host virtual memastikan keamanan program unggahan ASP di ruang mereka sendiri!
Terus terang, itu berarti tidak memberi pengganggu kesempatan untuk mengunggah file!
Izinkan saya mengatakan sesuatu yang ekstra di sini:
Karena penyedia ruang tidak dapat meramalkan program seperti apa yang akan diunggah oleh pengguna host virtual di situs mereka dan apakah setiap program memiliki kerentanan, mereka tidak dapat mencegah penyusup menggunakan kerentanan di situs untuk mengunggah Trojan ASP.
Kutipan ruang hanya dapat mencegah penyusup menggunakan situs yang diretas untuk meretas situs lain di server yang sama lagi.
Ini juga lebih lanjut menunjukkan bahwa untuk mencegah ASP Trojans, pengguna host virtual harus secara ketat mengontrol program mereka sendiri!
3. Langkah -langkah pencegahan
Pertama -tama, Anda dapat mengevaluasi risiko situs web Anda diretas oleh ASP Trojans berdasarkan tingkat keamanan berikut.
A. Tidak ada program pengunggahan atau program forum di situs web
---- sangat aman
B. Ada program mengunggah atau program forum di situs web. Hanya administrator yang dapat mengunggah program dan melindungi basis data program.
----- Keselamatan umum
C. Ada program mengunggah atau program forum di situs web. Banyak pengguna dapat mengunggah program, tetapi tidak ada ukuran perlindungan untuk database program.
---- sangat berbahaya!
Tingkat keamanan ini hanya memberi setiap orang pemahaman awal tentang keamanan ruang mereka sendiri. Selanjutnya, kita akan berbicara tentang langkah -langkah pencegahan spesifik:
1. Kami merekomendasikan agar pelanggan mengunggah dan memelihara halaman web melalui FTP, dan cobalah untuk tidak menginstal program unggahan ASP.
2. Panggilan ke program unggahan ASP harus diautentikasi, dan hanya orang yang tepercaya yang diizinkan menggunakan program unggahan. Ini termasuk berbagai rilis berita, mal, dan program forum. Selama ASP yang dapat mengunggah file harus diautentikasi! Selain itu, file ASP yang diunggah dapat diganti namanya atau dihapus ketika tidak diperlukan fungsi unggahan, seperti unggahan.asp, upfile.asp, dll., Dan kemudian kembalikan nama asli melalui FTP atau unggah lagi saat dibutuhkan.
3. Nama pengguna dan kata sandi administrator program ASP harus kompleks dan tidak boleh terlalu sederhana. Perhatikan mengubahnya secara teratur.
4. Buka situs web reguler untuk mengunduh program ASP. Setelah mengunduh, Anda harus memodifikasi nama basis data dan jalur penyimpanan, dan nama file database juga harus memiliki kompleksitas tertentu. Direkomendasikan agar pelanggan perusahaan kami menggunakan ekstensi file database .mdb karena server perusahaan kami telah mengatur fungsi. MDB fungsi anti-unduhan.
5. Cobalah untuk terus memperbarui program.
6. Jangan menambahkan tautan ke halaman login Manajer Latar Belakang di halaman web.
7. Untuk mencegah kerentanan yang tidak diketahui dari program, Anda dapat menghapus halaman login program manajemen latar belakang setelah pemeliharaan, dan mengunggahnya melalui FTP saat berikutnya Anda mempertahankannya.
8. Selalu cadangan file penting seperti database.
9. Pertahankan lebih banyak pemeliharaan harian dan perhatikan apakah ada file ASP yang tidak diketahui di ruang angkasa. Khusus untuk direktori yang secara khusus digunakan untuk menyimpan file yang diunggah, seperti: unggahfile, unggah, dll. Jika file yang tidak diketahui *.asp atau *.exe ditemukan, mereka harus dihapus segera, karena 90% dari file ini cenderung merupakan program intrusi. Ingat: Satu titik keringat, satu titik keamanan!
10. Setelah ditemukan bahwa itu diretas, kecuali pelanggan dapat mengidentifikasi semua file Trojan sendiri, semua file harus dihapus. Sebelum mengunggah ulang file, semua nama pengguna dan kata sandi program ASP harus diatur ulang, dan nama database program dan jalur penyimpanan dan jalur program manajemen latar belakang harus dimodifikasi ulang.
11. Pasang sistem deteksi intrusi yang diperlukan dan perbarui perangkat lunak antivirus secara tepat waktu.
Jika Anda mengambil tindakan pencegahan di atas, ruang Anda hanya dapat dikatakan relatif aman, dan Anda tidak boleh ceroboh karena invasi dan anti-invasi adalah perang abadi.
Bagikan: Program ASP mengimplementasikan kode sumber halaman pseudo-statis untuk halaman web Tutorial yang sangat sederhana untuk teman -teman yang menyukai SEO. Ganti http: //www.***.cn/article.asp? LOGID = 26 dengan http: //www.***.cn/article.asp? /A26.html. Tidak perlu menggunakan IIS isapi_rewrite untuk membuat penulisan ulang URL berbasis IIS