推奨:VBScript初心者チュートリアル:VBScriptの紹介VBScriptを学習する前に、Webページを熟練していることを確認するために、HTMLとCSSの知識が必要です。 VBScriptの紹介vbscriptは、マイクロソフトのクライアントスクリプト、すなわちマイクロソフトIIS(インターネット情報)のクライアントスクリプトに使用できるスクリプト言語です。
ほとんどのWebサイトの侵入がASPトロイの木馬を使用して行われていることを考えると、この記事は、通常の仮想ホストユーザーがASPトロイの木馬をよりよく理解および防止できるようにするために取り上げられています。宇宙プロバイダーと仮想ホストユーザーが一緒に予防策を講じる場合にのみ、ASPトロイの木馬を効果的に防ぐことができます!
1。ASPトロイの木馬とは何ですか?
実際にはASPで書かれたWebサイトプログラムであり、一部のASPトロイの木馬はASP Webサイト管理プログラムによって変更されています。
他のASPプログラムと本質的な違いはありません。 ASPスペースを実行できる限り、実行できます。このプロパティにより、ASPトロイの木馬の検出が非常に困難になります。 ITと他のASPプログラムの唯一の違いは、ASPトロイの木馬が侵入者がターゲットスペースにアップロードし、侵入者がターゲットスペースを制御するのに役立つASPプログラムであることです。 ASPトロイの木馬のランニングを禁止することは、ASPランニングを禁止するのと同等です。明らかにこれは機能しません。これがASPトロイの木馬がramp延している理由でもあります!
2。侵略の原則
侵入するには、ASPトロイの木馬をターゲットスペースにアップロードする必要があります。これは非常に重要です!
それでは、侵入者はどのようにしてASPトロイの木馬をアップロードしますか?
侵入者は、ターゲット空間にアップロードされた機能を備えた既存のASPプログラムを主に使用して実装することが皮肉です。通常の状況では、ファイルをアップロードできるこれらのASPプログラムには許可制限があり、それらのほとんどもASPファイルのアップロードを制限します。 (例:画像、写真管理プログラム、およびより多くの種類のファイルなどをアップロードできるフォーラムプログラムなど)。ただし、ASPプログラム自体の人工ASP設定エラーと抜け穴により、侵入者はASPトロイの木馬をアップロードする機会を利用できます。 ASPトロイの木馬がターゲットスペースにアップロードされる限り、侵入者はそれを実行してターゲットスペースを完全に制御できます。
したがって、ASPトロイの木馬を防ぐための鍵は、仮想ホストユーザーが自分のスペースでASPアップロードプログラムのセキュリティを保証する方法です。
率直に言って、それは侵入者にファイルをアップロードする機会を与えないことを意味します!
ここで何か特別なことを言わせてください:
スペースプロバイダーは、仮想ホストユーザーがサイトにアップロードするプログラムの種類と、各プログラムに脆弱性があるかどうかを予測できないため、侵入者がサイトで脆弱性を使用してASPトロイの木馬をアップロードするのを防ぐことはできません。
スペースの見積もりは、侵入者がハッキングされたサイトを使用して同じサーバー上の他のサイトをハッキングすることのみを防ぐことができます。
これはまた、ASPトロイの木馬を防ぐために、仮想ホストユーザーが独自のプログラムを厳密に制御する必要があることを示しています。
3。予防措置
まず、次のセキュリティレベルに基づいて、ASPトロイの木馬によってハッキングされるリスクを評価できます。
a。ウェブサイトにアップロードプログラムやフォーラムプログラムはありません
----非常に安全です
b。ウェブサイトには、プログラムまたはフォーラムプログラムをアップロードしています。管理者のみがプログラムをアップロードしてプログラムデータベースを保護できます。
-----一般的な安全
c。ウェブサイトにアップロードプログラムまたはフォーラムプログラムがあります。多くのユーザーはプログラムをアップロードできますが、プログラムデータベースの保護測定はありません。
----非常に危険です!
このセキュリティレベルは、誰もが自分のスペースのセキュリティについての予備的な理解を得るだけです。次に、特定の予防措置について説明します。
1.顧客はFTPを介してWebページをアップロードおよび保守し、ASPアップロードプログラムをインストールしないようにすることをお勧めします。
2。ASPアップロードプログラムへの呼び出しは認証されている必要があり、信頼できる人々のみがアップロードプログラムを使用することが許可されています。これには、さまざまなニュースリリース、モール、フォーラムプログラムが含まれます。ファイルをアップロードできるASPを認証する必要がある限り!さらに、アップロード機能が不要な場合は、upload.asp、upfile.aspなどなど、アップロード機能が不要な場合にアップロードされたASPファイルを変更または削除し、ftpを介して元の名前を復元するか、必要に応じて再度アップロードできます。
3. ASPプログラム管理者のユーザー名とパスワードは複雑である必要があり、あまり単純であってはなりません。定期的に変更することに注意してください。
4.通常のWebサイトにアクセスして、ASPプログラムをダウンロードします。ダウンロード後、データベース名とストレージパスを変更する必要があり、データベースファイル名にも一定の複雑さが必要です。当社のサーバーが.MDBファイルアンチダウンロード機能を設定しているため、当社の顧客は.MDBデータベースファイル拡張機能を使用することをお勧めします。
5.プログラムを最新の状態に保つようにしてください。
6. Webページのバックグラウンドマネージャーログインページにリンクを追加しないでください。
7.プログラムから不明な脆弱性を防ぐために、メンテナンス後にバックグラウンド管理プログラムのログインページを削除し、次に維持したときにFTPを介してアップロードできます。
8.データベースなどの重要なファイルを常にバックアップします。
9.毎日のメンテナンスを維持し、空間に起源が未知のASPファイルがあるかどうかに注意してください。特に、アップロードされたファイルなどのアップロードされたファイルを保存するために特別に使用されるディレクトリの場合:UploadFile、uploadSoftなど。覚えておいてください:汗の1つのポイント、安全性の1つのポイント!
10。顧客がすべてのトロイの木馬ファイル自体を識別できない限り、ハッキングされていることが判明したら、すべてのファイルを削除する必要があります。ファイルを再アップロードする前に、すべてのASPプログラムのユーザー名とパスワードをリセットする必要があり、プログラムデータベース名とストレージパス、およびバックグラウンド管理プログラムのパスを再修正する必要があります。
11.必要な侵入検知システムをインストールし、タイムリーにウイルス対策ソフトウェアを更新します。
上記の予防措置を講じると、スペースは比較的安全であるとしか言えません。侵略と反侵害は永遠の戦争であるため、不注意であってはなりません。
共有:ASPプログラムは、Webページの擬似静的ページソースコードを実装していますSEOが好きな友人のための非常に簡単なチュートリアル。 http://www.**.cn/article.asp?logid = 26 http://www.***.cn/article.asp?/a26.htmlに置き換えます。 IISベースのURL書き換えを行うためにIIS ISAPI_REWRITEを使用する必要はありません