Рекомендуется: VBScript Beginner Tuporial: Введение в VBScript Перед изучением VBScript вы должны иметь знание HTML и CSS, чтобы убедиться, что вы можете хорошо писать веб -страницы. Введение в VBScript VBScript - это язык сценариев, который можно использовать для клиентских сценариев браузеров Microsoft IE и Microsoft IIS (Информация об Интернете)
Учитывая, что большинство вторжений на веб -сайт выполняются с использованием троянцев ASP, эта статья предназначена для того, чтобы позволить обычным виртуальным пользователям хоста лучше понимать и предотвратить трояны ASP. Только когда провайдеры космических провайдеров и виртуальные пользователи -хозяины принимают профилактические меры вместе, могут ли они эффективно предотвратить трояны ASP!
1. Что такое троян ASP?
На самом деле это программа веб -сайта, написанная в ASP, и некоторые трояны ASP даже изменяются программами управления веб -сайтами ASP.
Это не имеет существенного отличия от других программ ASP. Пока он может запустить пространство ASP, он может запустить его. Это свойство делает трояна ASP очень трудным для обнаружения. Единственная разница между им и другими программами ASP заключается в том, что ASP Trojan - это программа ASP, которую злоумышленник загружает в целевое пространство и помогает злоумышленнику контролировать целевое пространство. Запретить Trojan Trojan ASP эквивалентно запрещению бега ASP. Очевидно, что это не работает, что также является причиной, по которой троян ASP безупречно!
2. Принцип вторжения
Чтобы вторгаться, вы должны загрузить троян ASP в целевое пространство, что очень важно!
Итак, как злоумышленники загружают троян ASP?
Иронично, что злоумышленники в основном используют существующие программы ASP с функциями загрузки в целевом пространстве для их реализации. При нормальных обстоятельствах эти программы ASP, которые могут загружать файлы, имеют ограничения разрешения, и большинство из них также ограничивают загрузку файлов ASP. (Например: пресс -релиз, который может загружать изображения, программу управления изображениями и программу форума, которая может загружать больше типов файлов и т. Д.) Однако из -за искусственных ошибок настройки ASP и лазейков в самой программе ASP злоумышленники могут воспользоваться возможностью загрузить троян ASP. Пока троян ASP загружается в целевое пространство, злоумышленник может запустить его для полного контроля целевого пространства.
Таким образом, ключом к предотвращению троянцев ASP является то, как виртуальные хост -пользователи обеспечивают безопасность программ загрузки ASP в их собственном пространстве!
Чтобы выразить это, это означает, что не дают злоумышленников возможность загружать файлы!
Позвольте мне сказать что -нибудь дополнительное здесь:
Поскольку поставщики космических помещений не могут предвидеть, какие программы будут загружать виртуальный хост -пользователь на свой сайт, и есть ли у каждой программы уязвимости, они не могут помешать злоумышленникам использовать уязвимости на сайте для загрузки трояна ASP.
Космические кавычки могут только предотвратить использование взломанного сайта, чтобы снова взломать другие сайты на одном и том же сервере.
Это также показывает, что для предотвращения троянцев ASP виртуальные хост -пользователи должны строго контролировать свои собственные программы!
3. Профилактические меры
Прежде всего, вы можете оценить риск того, что ваш веб -сайт взломан ASP Trojans на основе следующего уровня безопасности.
а На веб -сайте нет программ загрузки или программ на форуме
---- очень безопасно
беременный На веб -сайте есть программы загрузки или программы форума. Только администратор может загружать программы и защитить базу данных программы.
----- Общая безопасность
в На веб -сайте есть программы загрузки или программы форума. Многие пользователи могут загружать программы, но для базы данных программы нет меры защиты.
---- Очень опасно!
Этот уровень безопасности только дает каждому предварительное понимание безопасности их собственного пространства. Далее мы поговорим о конкретных профилактических мерах:
1. Мы рекомендуем, чтобы клиенты загружали и поддерживали веб -страницы через FTP, и стараемся не устанавливать программу загрузки ASP.
2. Призыв к программе загрузки ASP должен быть аутентифицирован, и только доверенным людям разрешено использовать программу загрузки. Это включает в себя различные выпуски новостей, торговые центры и программы форума. Пока ASP, который может загружать файлы, должен быть аутентифицирован! Кроме того, загруженный файл ASP может быть переименован или удален, когда не требуется функция загрузки, например, upload.asp, upfile.asp и т. Д., А затем восстановить исходное имя через FTP или загрузить его снова, когда это необходимо.
3. Имя пользователя и пароль администратора программы ASP должны быть сложными и не должны быть слишком простыми. Обратите внимание на изменение его регулярно.
4. Перейдите на обычный веб -сайт, чтобы загрузить программу ASP. После загрузки вы должны изменить имя его базы данных и путь хранения, а имя файла базы данных также должно иметь определенную сложность. Рекомендуется использовать клиенты нашей компании.
5. Постарайтесь держать программу в курсе.
6. Не добавляйте ссылки на страницу входа менеджера фонового менеджера на веб -странице.
7. Чтобы предотвратить неизвестные уязвимости из программы, вы можете удалить страницу входа в систему программы управления фоном после технического обслуживания и загрузить ее через FTP в следующий раз, когда вы его поддерживаете.
8. Всегда резервную копию важных файлов, таких как базы данных.
9. Поддерживайте больше ежедневного обслуживания и обратите внимание на то, есть ли какие -либо файлы ASP неизвестного происхождения в пространстве. Особенно для каталогов, которые специально используются для хранения загруженных файлов, таких как: uploadfile, uploadsoft и т. Д. Если неизвестно *.asp или *. Помните: одна точка пота, одна точка безопасности!
10. Как только он будет обнаружен, что он взломан, если только клиент не может идентифицировать все троянские файлы, все файлы должны быть удалены. Перед повторной загрузкой файла все имена пользователей и пароли программы ASP должны быть сброшены, а также имя и путь хранения базы данных программы, а также путь программы управления фоном должен быть повторно модифицирован.
11. Установите необходимую систему обнаружения вторжений и своевременно обновите антивирусное программное обеспечение.
Если вы принимаете вышеупомянутые меры предосторожности, можно сказать, что ваше пространство только относительно безопасно, и вы не должны быть небрежными, потому что вторжение и противодействие являются вечной войной.
Поделиться: программа ASP реализует псевдо-статический исходный код страницы для веб-страниц Очень простой учебник для друзей, которым нравится SEO. Замените http: //www.rus.cn/article.asp? Logid = 26 с http: //www.***. Нет необходимости использовать IIS ISAPI_REWRITE, чтобы сделать переписывание URL на основе IIS