登录  
 加关注
查看详情
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

糟老頭的地盤

老頭的地盤听老頭的

 
 
 

日志

 
 

网络ASP的安全与防范  

2007-08-02 16:45:56|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

尊敬的 56770 Eshop 网店系统用户:

首先,我们对系统安全隐患给您造成的损失,深表歉意,对于突如其来的攻击,我们已连夜电话通知了很多用户,但由于用户过多,很多用户还是没有通知到,如何帮助用户尽快恢复网站的正常运营,才是重中之重!

看到此文章的用户,请先查看网站后台是否可以登陆:

如果您的网站后台密码错误那么您的网站无疑被入侵了;

如果您的网站admin文件夹下存在key.asp文件,那么您的网站也许已经被入侵了;

网站找不到key.asp文件,是不是我的网站就安全呢?并不是这样的,请登陆FTP,查看网站文件最后修改时间,如果网站文件最后修改时间为最近一周,那么您的网站也是危险的.

如果您的网站已经被入侵了,那么请看如何进行恢复以及如何预防再次遭到入侵.

恢复密码: 管理员密码修改文件,上传到admin文件夹下使用.

下载: 下载木马扫描程序扫描空间是否存在ASP木马.

推荐: 删除PIC和DATABASE文件夹以外的文件,使用原始文件重新上传,并确保admin文件夹下无key.asp文件.

有任何疑问,请登陆论坛发布.

[注意]网站安全专题

网站安全是网站得以正常运做的根本,网站不安全导致黑客入侵很容易发生毁灭性的灾难,很多人说ASP不安全、漏洞多,疏不知漏洞都是人为造成的,下面我们就网站安全问题给大家阐述一下,希望起到抛砖引玉的作用,大家有好的建议和经验欢迎跟贴讨论。

大家在安装了56770 Eshop网上开店软件之后,需要做以下工作:

1. 增加新的管理员,删除默认管理员帐号,避免因没有删除默认管理员而造成网站后台被人登陆。

2. 修改默认数据库名称,这也是涉及网站安全的一个重要举措,但是网络上很多的文章说明的都不够详细,而且早已不适应现在的需要,我根据几年来的经验,给大家具体阐述一下此部分(SQL SERVER版用户不必继续阅读)。

   网络上常见的方法一般有以下几部分:

   1)修改数据扩展名,将默认的mdb扩展名修改为asa或asp。此方法主要起到防止数据库被下载的作用,但是讯雷和FLASH get均可以将数据库以文本文件的方式下载下来。

    2)在数据库名前加上#号就可以避免数据库被下载。可行吗?是可行的,因为浏览器地址中出现#号后,浏览器就以为网址到#号就已经结束了,所以#号后的信息不被处理。此方法一样是有漏洞的,因为#号可以写成%23,这样就可以顺利的下载了。

    大家都支持asa或asp都是可执行文件,容易被人将危险代码输入进数据库,而导致木马文件被上传。所以说将数据库扩展名修改为asa或asp将会给网站带来毁灭性的灾难,那我们该怎么做呢?

     其实很简单,我在几年的从业过程中,发现很多用户都是常性思维来做事,其实数据库扩展名可以修改为任何名称,如我们将默认的数据名称 #56770_v60.asa 修改为 #56770_v60_abscffgfw33243243.mkjkdsdsdd 这样数据库一样可以运行,而且百分之百不会被人猜解到。在数据库安全处理这一问题上,我们的确也被以上两种方法所诱导,希望大家看到此篇文章后,能够很好的处理数据库安全问题。模板数据库,我们也改成了 56770_skins.asa 大家可以改成 56770_skins_abc_1233.skins 名称自己知道就可以了。这样自己设计的模板一样不会被别人拿到。

  评论这张
 
阅读(406)| 评论(0)

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018