แนะนำ: VBScript ผู้เริ่มต้นการสอน: บทนำสู่ VBScript ก่อนที่จะเรียนรู้ VBScript คุณควรมีความรู้เกี่ยวกับ HTML และ CSS เพื่อให้แน่ใจว่าคุณสามารถเขียนหน้าเว็บได้อย่างเชี่ยวชาญ บทนำสู่ VBScript VBScript เป็นภาษาสคริปต์ที่สามารถใช้สำหรับการเขียนสคริปต์ไคลเอนต์ของเบราว์เซอร์ Microsoft IE และ Microsoft IIS (ข้อมูลอินเทอร์เน็ต)
เนื่องจากการบุกรุกของเว็บไซต์ส่วนใหญ่ดำเนินการโดยใช้ Trojans ASP บทความนี้ได้รับการแนะนำเพื่อให้ผู้ใช้โฮสต์เสมือนจริงทั่วไปเข้าใจและป้องกัน Trojans ASP ได้ดีขึ้น เฉพาะเมื่อผู้ให้บริการอวกาศและผู้ใช้โฮสต์เสมือนใช้มาตรการป้องกันร่วมกันพวกเขาสามารถป้องกันโทรจัน ASP ได้อย่างมีประสิทธิภาพ!
1. Trojan ASP คืออะไร?
จริงๆแล้วมันเป็นโปรแกรมเว็บไซต์ที่เขียนใน ASP และโทรจัน ASP บางตัวได้รับการแก้ไขโดยโปรแกรมการจัดการเว็บไซต์ ASP
มันไม่มีความแตกต่างที่สำคัญจากโปรแกรม ASP อื่น ๆ ตราบใดที่มันสามารถเรียกใช้พื้นที่ ASP ก็สามารถเรียกใช้ได้ สถานที่ให้บริการนี้ทำให้ Trojan ตรวจจับได้ยากมาก ความแตกต่างเพียงอย่างเดียวระหว่างโปรแกรม ASP อื่น ๆ คือ Trojan ASP เป็นโปรแกรม ASP ที่ผู้บุกรุกอัปโหลดไปยังพื้นที่เป้าหมายและช่วยให้ผู้บุกรุกควบคุมพื้นที่เป้าหมาย การห้ามการทำงานของ Trojan ASP นั้นเทียบเท่ากับการห้ามใช้ ASP เห็นได้ชัดว่านี่ไม่ได้ผลซึ่งเป็นเหตุผลว่าทำไม ASP Trojan จึงอาละวาด!
2. หลักการของการบุกรุก
ในการบุกคุณต้องอัปโหลด Trojan ASP ไปยังพื้นที่เป้าหมายซึ่งสำคัญมาก!
ดังนั้นผู้บุกรุกจะอัปโหลด Trojan ASP ได้อย่างไร?
เป็นเรื่องน่าขันที่ผู้บุกรุกส่วนใหญ่ใช้โปรแกรม ASP ที่มีอยู่พร้อมฟังก์ชั่นการอัปโหลดในพื้นที่เป้าหมายเพื่อนำไปใช้งาน ภายใต้สถานการณ์ปกติโปรแกรม ASP เหล่านี้ที่สามารถอัปโหลดไฟล์มีข้อ จำกัด การอนุญาตและส่วนใหญ่ยัง จำกัด การอัปโหลดไฟล์ ASP (ตัวอย่างเช่น: ข่าวประชาสัมพันธ์ที่สามารถอัปโหลดรูปภาพโปรแกรมการจัดการรูปภาพและโปรแกรมฟอรัมที่สามารถอัปโหลดไฟล์ประเภทมากขึ้น ฯลฯ ) อย่างไรก็ตามเนื่องจากข้อผิดพลาดในการตั้งค่า ASP และช่องโหว่ในโปรแกรม ASP ของตัวเองผู้บุกรุกสามารถใช้ประโยชน์จากโอกาสในการอัปโหลดโทรจัน ASP ตราบใดที่โทรจัน ASP ถูกอัปโหลดไปยังพื้นที่เป้าหมายผู้บุกรุกสามารถเรียกใช้เพื่อควบคุมพื้นที่เป้าหมายให้เสร็จสมบูรณ์
ดังนั้นกุญแจสำคัญในการป้องกันการโทรจัน ASP คือวิธีที่ผู้ใช้โฮสต์เสมือนมั่นใจในความปลอดภัยของโปรแกรมอัพโหลด ASP ในพื้นที่ของตนเอง!
ในการกล่าวอย่างตรงไปตรงมามันหมายถึงการไม่ให้โอกาสผู้บุกรุกอัปโหลดไฟล์!
ให้ฉันพูดอะไรพิเศษที่นี่:
เนื่องจากผู้ให้บริการอวกาศไม่สามารถคาดการณ์ได้ว่าโปรแกรมประเภทใดที่ผู้ใช้โฮสต์เสมือนจะอัปโหลดบนเว็บไซต์ของพวกเขาและแต่ละโปรแกรมมีช่องโหว่พวกเขาจึงไม่สามารถป้องกันผู้บุกรุกจากการใช้ช่องโหว่ในเว็บไซต์เพื่ออัปโหลดโทรจัน ASP
ใบเสนอราคาอวกาศสามารถป้องกันไม่ให้ผู้บุกรุกใช้ไซต์ที่ถูกแฮ็กเพื่อแฮ็คไซต์อื่น ๆ บนเซิร์ฟเวอร์เดียวกันอีกครั้ง
นอกจากนี้ยังแสดงให้เห็นว่าเพื่อป้องกันโทรจัน ASP ผู้ใช้โฮสต์เสมือนต้องควบคุมโปรแกรมของตนเองอย่างเคร่งครัด!
3. มาตรการป้องกัน
ก่อนอื่นคุณสามารถประเมินความเสี่ยงของเว็บไซต์ของคุณที่ถูกแฮ็กโดยโทรจัน ASP ตามระดับความปลอดภัยต่อไปนี้
. ไม่มีโปรแกรมอัปโหลดหรือโปรแกรมฟอรัมในเว็บไซต์
---- ปลอดภัยมาก
ข. มีโปรแกรมอัปโหลดหรือโปรแกรมฟอรัมในเว็บไซต์ เฉพาะผู้ดูแลระบบเท่านั้นที่สามารถอัปโหลดโปรแกรมและปกป้องฐานข้อมูลโปรแกรม
----- ความปลอดภัยทั่วไป
ค. มีโปรแกรมอัปโหลดหรือโปรแกรมฟอรัมบนเว็บไซต์ ผู้ใช้หลายคนสามารถอัปโหลดโปรแกรมได้ แต่ไม่มีมาตรการป้องกันสำหรับฐานข้อมูลโปรแกรม
---- อันตรายมาก!
ระดับความปลอดภัยนี้ทำให้ทุกคนมีความเข้าใจเบื้องต้นเกี่ยวกับความปลอดภัยของพื้นที่ของตนเอง ต่อไปเราจะพูดคุยเกี่ยวกับมาตรการป้องกันที่เฉพาะเจาะจง:
1. เราขอแนะนำให้ลูกค้าอัปโหลดและบำรุงรักษาหน้าเว็บผ่าน FTP และพยายามอย่าติดตั้งโปรแกรมอัพโหลด ASP
2. การโทรไปยังโปรแกรมการอัปโหลด ASP จะต้องได้รับการรับรองความถูกต้องและเฉพาะผู้ที่เชื่อถือได้เท่านั้นที่ได้รับอนุญาตให้ใช้โปรแกรมการอัปโหลด ซึ่งรวมถึงรายการข่าวต่าง ๆ ห้างสรรพสินค้าและโปรแกรมฟอรัม ตราบใดที่ ASP ที่สามารถอัปโหลดไฟล์จะต้องได้รับการรับรองความถูกต้อง! นอกจากนี้ไฟล์ ASP ที่อัปโหลดสามารถเปลี่ยนชื่อหรือลบได้เมื่อไม่จำเป็นต้องใช้ฟังก์ชั่นการอัปโหลดเช่น upload.asp, upfile.asp ฯลฯ จากนั้นกู้คืนชื่อเดิมผ่าน FTP หรืออัปโหลดอีกครั้งเมื่อจำเป็น
3. ชื่อผู้ใช้และรหัสผ่านของผู้ดูแลโปรแกรม ASP ต้องซับซ้อนและไม่ควรง่ายเกินไป ให้ความสนใจกับการเปลี่ยนแปลงเป็นประจำ
4. ไปที่เว็บไซต์ปกติเพื่อดาวน์โหลดโปรแกรม ASP หลังจากดาวน์โหลดคุณต้องแก้ไขชื่อฐานข้อมูลและเส้นทางการจัดเก็บและชื่อไฟล์ฐานข้อมูลจะต้องมีความซับซ้อนบางอย่าง ขอแนะนำให้ลูกค้าของ บริษัท ของเราใช้ส่วนขยายไฟล์ฐานข้อมูล. MDB เนื่องจากเซิร์ฟเวอร์ของ บริษัท ของเราได้ตั้งค่าฟังก์ชั่น Anti-Download ไฟล์. MDB
5. พยายามทำให้โปรแกรมได้รับการปรับปรุงให้ทันสมัย
6. อย่าเพิ่มลิงค์ไปยังหน้าล็อกอินผู้จัดการพื้นหลังบนหน้าเว็บ
7. เพื่อป้องกันช่องโหว่ที่ไม่รู้จักจากโปรแกรมคุณสามารถลบหน้าเข้าสู่ระบบของโปรแกรมการจัดการพื้นหลังหลังการบำรุงรักษาและอัปโหลดผ่าน FTP ในครั้งต่อไปที่คุณดูแลรักษา
8. การสำรองข้อมูลไฟล์สำคัญเช่นฐานข้อมูลเสมอ
9. รักษาการบำรุงรักษาทุกวันมากขึ้นและให้ความสนใจว่ามีไฟล์ ASP ที่ไม่รู้จักในพื้นที่หรือไม่ โดยเฉพาะอย่างยิ่งสำหรับไดเรกทอรีที่ใช้เป็นพิเศษในการจัดเก็บไฟล์ที่อัปโหลดเช่น: uploadfile, uploadsoft ฯลฯ หากไม่ทราบ *.asp หรือ *. exe ไฟล์พวกเขาควรถูกลบทันทีเนื่องจาก 90% ของไฟล์เหล่านี้น่าจะเป็นโปรแกรมการบุกรุก ข้อควรจำ: หนึ่งจุดของเหงื่อออกจุดหนึ่งของความปลอดภัย!
10. เมื่อพบว่ามีการแฮ็กเว้นแต่ลูกค้าสามารถระบุไฟล์โทรจันทั้งหมดได้เองไฟล์ทั้งหมดจะต้องถูกลบ ก่อนที่จะอัปโหลดไฟล์ใหม่ชื่อผู้ใช้และรหัสผ่านโปรแกรม ASP ทั้งหมดจะต้องรีเซ็ตและชื่อฐานข้อมูลโปรแกรมและเส้นทางการจัดเก็บและเส้นทางของโปรแกรมการจัดการพื้นหลังจะต้องได้รับการปรับเปลี่ยนใหม่
11. ติดตั้งระบบตรวจจับการบุกรุกที่จำเป็นและอัปเดตซอฟต์แวร์ป้องกันไวรัสในเวลาที่เหมาะสม
หากคุณใช้ความระมัดระวังด้านบนพื้นที่ของคุณสามารถกล่าวได้ว่าค่อนข้างปลอดภัยและคุณต้องไม่ประมาทเพราะการบุกรุกและการต่อต้านการโจมตีเป็นสงครามนิรันดร์
แชร์: โปรแกรม ASP ใช้ซอร์สโค้ดเพจ Pseudo-static สำหรับหน้าเว็บ การสอนที่ง่ายมากสำหรับเพื่อนที่ชอบ SEO แทนที่ http: //www.***.cn/article.asp? logid = 26 ด้วย http: //www.***.cn/article.asp? /a26.html ไม่จำเป็นต้องใช้ IIS isapi_rewrite เพื่อสร้าง URL ที่ใช้ IIS rewrite