แนะนำ: อินสแตนซ์ ASP: ใช้การส่งไฟล์แนบสามัญและไฟล์แนบแบบฝังตัวทางอีเมล ตัวอย่างมากมายของการส่งอีเมล JMail บนอินเทอร์เน็ตไม่ได้เขียนเกี่ยวกับวิธีการส่งสิ่งที่แนบมาหรือไม่เขียนเกี่ยวกับวิธีการส่งไฟล์แนบที่ฝังตัว (เช่นการฝังภาพไฟล์แนบลงในตัวอักษร HTML) ในความเป็นจริงสิ่งที่สำคัญที่สุดคือการแสดงความคิดเห็นประโยคนี้ 'jmail.contentType = te
เนื่องจาก ASP เองเป็นฟังก์ชั่นบริการบรรณาการที่เซิร์ฟเวอร์จัดหาให้ ASP โทรจันจึงถูกปกปิดอย่างสูงและยากที่จะตรวจจับและฆ่าทำให้เกิดภัยคุกคามร้ายแรงต่อความปลอดภัยของเว็บไซต์ ดังนั้นการป้องกันและการกำจัดโทรจัน ASP จึงมีข้อกำหนดทางเทคนิคที่สูงขึ้นสำหรับผู้ดูแลระบบเครือข่าย
โปรแกรมขนาดใหญ่หลายรายการพบว่ามีการอัปโหลดช่องโหว่และโปรแกรมขนาดเล็กนับไม่ถ้วนมีจำนวนมากขึ้นซึ่งทำให้โทรจัน ASP ครองกระแสหลักและใช้กันอย่างแพร่หลาย ฉันเชื่อว่าถ้าคุณเป็นเซิร์ฟเวอร์คุณต้องปวดหัวเกี่ยวกับเรื่องนี้ โดยเฉพาะอย่างยิ่งผู้ใช้โฮสต์เสมือนได้พบกับประสบการณ์ของหน้าเว็บที่ถูกดัดแปลงและถูกลบข้อมูล นอกเหนือจากการเกลียดพฤติกรรมดังกล่าวหลังจากนั้นลูกค้าจำนวนมากได้รับความเดือดร้อนจากการขาดมาตรการป้องกันที่มีประสิทธิภาพ เนื่องจากการบุกรุกของเว็บไซต์ส่วนใหญ่ดำเนินการโดยใช้ Trojans ASP บทความนี้ได้รับการแนะนำเพื่อให้ผู้ใช้โฮสต์เสมือนจริงทั่วไปเข้าใจและป้องกัน Trojans ASP ได้ดีขึ้น เฉพาะเมื่อผู้ให้บริการอวกาศและผู้ใช้โฮสต์เสมือนใช้มาตรการป้องกันร่วมกันพวกเขาสามารถป้องกันโทรจัน ASP ได้อย่างมีประสิทธิภาพ!
ก่อนอื่นมาพูดถึงวิธีการป้องกัน เมื่อพูดถึงการป้องกันเราจำเป็นต้องเข้าใจหลักการของ Trojans ASP ฉันจะไม่พูดถึงหลักการหลัก บทความออนไลน์บางบทความถูกใส่เพียง Trojans เป็นโปรแกรมเว็บไซต์ที่เขียนใน ASP และโทรจัน ASP บางตัวได้รับการแก้ไขโดยโปรแกรมการจัดการเว็บไซต์ ASP ตัวอย่างเช่นผู้ช่วยเว็บมาสเตอร์ ASP ทั่วไปของเรา ฯลฯ
มันไม่มีความแตกต่างที่สำคัญจากโปรแกรม ASP อื่น ๆ ตราบใดที่มันสามารถเรียกใช้พื้นที่ ASP ก็สามารถเรียกใช้ได้ สถานที่ให้บริการนี้ทำให้ Trojan ตรวจจับได้ยากมาก ความแตกต่างเพียงอย่างเดียวระหว่างโปรแกรม ASP อื่น ๆ คือ Trojan ASP เป็นโปรแกรม ASP ที่ผู้บุกรุกอัปโหลดไปยังพื้นที่เป้าหมายและช่วยให้ผู้บุกรุกควบคุมพื้นที่เป้าหมาย ในกรณีที่ร้ายแรงจะได้รับสิทธิ์ของผู้ดูแลระบบเซิร์ฟเวอร์ เพื่อห้ามการดำเนินการของ Trojan ASP นั้นเทียบเท่ากับการห้ามการดำเนินงานของ ASP เห็นได้ชัดว่านี่เป็นไปไม่ได้ นี่คือเหตุผลว่าทำไม Trojans ASP จึงอาละวาด! มีคนถามไม่มีทาง? ไม่มีวิธี:
ครั้งแรก: เริ่มต้นจากแหล่งที่ มาผู้บุกรุกอัพโหลด Trojan ASP ได้อย่างไร? มีวิธีการทั่วไปหลายวิธี: รับสิทธิ์ผู้ดูแลระบบผ่านการฉีด SQL และเขียน Trojan ASP ไปยังเซิร์ฟเวอร์ผ่านฟังก์ชั่นฐานข้อมูลสำรอง หรือป้อนพื้นหลังเพื่อใช้ฟังก์ชั่นการอัปโหลดของโปรแกรม ASP การอัปโหลดโทรจัน ฯลฯ แน่นอนภายใต้สถานการณ์ปกติโปรแกรม ASP เหล่านี้ที่สามารถอัปโหลดไฟล์มีข้อ จำกัด การอนุญาตและส่วนใหญ่ยัง จำกัด การอัปโหลดไฟล์ ASP (ตัวอย่างเช่น: ข่าวประชาสัมพันธ์ที่สามารถอัปโหลดรูปภาพโปรแกรมการจัดการรูปภาพและโปรแกรมฟอรัมที่สามารถอัปโหลดไฟล์ประเภทเพิ่มเติม ฯลฯ ) หากเราอัปโหลด Trojan ASP โดยตรงเราจะพบว่าโปรแกรมจะแจ้งให้ทราบว่าไม่สามารถอัปโหลดได้โดยตรง อย่างไรก็ตามเนื่องจากข้อผิดพลาดในการตั้งค่า ASP เทียมและช่องโหว่ในโปรแกรม ASP นั้นผู้บุกรุกสามารถใช้ประโยชน์จากโอกาสในการอัปโหลดโทรจัน ASP
ดังนั้นกุญแจสำคัญในการป้องกันการโทรจัน ASP คือวิธีที่ผู้ใช้โฮสต์เสมือนมั่นใจในความปลอดภัยของโปรแกรมอัพโหลด ASP ในพื้นที่ของพวกเขา หากคุณใช้โปรแกรมของคนอื่นลองใช้โปรแกรมขนาดใหญ่ที่มีชื่อเสียงมากขึ้นเพื่อให้มีช่องโหว่น้อยลงตามธรรมชาติและพยายามใช้เวอร์ชันล่าสุดให้มากที่สุด คุณควรไปที่เว็บไซต์อย่างเป็นทางการเพื่อดูเวอร์ชันใหม่หรือแพตช์ล่าสุดและเส้นทางเริ่มต้นของฐานข้อมูลและรหัสผ่านผู้ดูแลระบบเริ่มต้นคุณต้องเปลี่ยนมันเป็นนิสัยเพื่อให้มั่นใจถึงความปลอดภัยของโปรแกรม
ดังนั้นหากคุณเป็นโปรแกรมเมอร์ฉันอยากจะบอกว่าเราควรพยายามเขียนโปรแกรมที่เกี่ยวข้องกับชื่อผู้ใช้และรหัสผ่านจากมุมมองด้านความปลอดภัยในโปรแกรมเว็บไซต์และควรบรรจุในฝั่งเซิร์ฟเวอร์และควรปรากฏน้อยที่สุดในไฟล์ ASP ชื่อผู้ใช้และรหัสผ่านที่เกี่ยวข้องในการเชื่อมต่อฐานข้อมูลควรได้รับสิทธิ์ขั้นต่ำ หน้า ASP ที่ได้รับการยืนยันสามารถติดตามชื่อไฟล์ของหน้าก่อนหน้าและเฉพาะเซสชันที่ถ่ายโอนจากหน้าก่อนหน้าเท่านั้นที่สามารถอ่านหน้านี้ได้ ป้องกันการรั่วไหลของไฟล์ ASP HomePage.INC; ป้องกันการรั่วไหลของไฟล์บางอย่าง. bak จากการรั่วไหลของ UE และบรรณาธิการอื่น ๆ ฯลฯ โดยเฉพาะอย่างยิ่งฟังก์ชั่นการอัปโหลด
ข้างต้นเป็นเพียงข้อกำหนดบางประการสำหรับลูกค้า แต่เนื่องจากผู้ให้บริการอวกาศไม่สามารถคาดการณ์ได้ว่าโปรแกรมประเภทใดที่ผู้ใช้โฮสต์เสมือนจะอัปโหลดบนเว็บไซต์ของพวกเขาและแต่ละโปรแกรมมีช่องโหว่พวกเขาไม่สามารถป้องกันไม่ให้ผู้บุกรุกใช้ช่องโหว่ของโปรแกรมไคลเอนต์ในเว็บไซต์ ใบเสนอราคาอวกาศสามารถป้องกันไม่ให้ผู้บุกรุกใช้ไซต์ที่ถูกแฮ็กเพื่อแฮ็คไซต์อื่น ๆ บนเซิร์ฟเวอร์เดียวกันอีกครั้ง นอกจากนี้ยังแสดงให้เห็นว่าเพื่อป้องกันโทรจัน ASP ผู้ใช้โฮสต์เสมือนต้องควบคุมโปรแกรมของตนเองอย่างเคร่งครัด! ด้วยเหตุนี้ฉันจึงสรุปหลักการสิบอันดับแรกสำหรับการป้องกันโทรจัน ASP สำหรับการอ้างอิงของคุณ:
แบ่งปัน: 10 ประสบการณ์ในการพัฒนา ASP หลังจากครึ่งปีฉันเสร็จระบบข้อมูลการจัดการของหน่วยระดับสำนักเพียงอย่างเดียวและเปิดตัวรุ่นเบต้า 29 รุ่นและ 3 เวอร์ชันอย่างเป็นทางการ ASP Oracle Environment, 285 ไฟล์ ASP, ฟังก์ชั่นเกี่ยวข้องกับการป้อนข้อมูล, การปรับเปลี่ยน, การสืบค้นฟัซซี่, สถิติอัตโนมัติ, การวิเคราะห์ข้อมูลและการรายงาน
2 หน้ารวมหน้าก่อนหน้า 12 หน้าถัดไป