推薦：ASP 3.0高級(jí)編程(四十四)
第10章 ASP與客戶端數(shù)據(jù) 在一本ASP專著中討論客戶端數(shù)據(jù)，這與服務(wù)器端的ASP編程是否矛盾？情況并非如此，因?yàn)槲覀冎两裆形磁龅街粡氖路��?wù)器端編程的ASP程序員。雖然ASP是一項(xiàng)服務(wù)器端技術(shù)，但

作為網(wǎng)絡(luò)管理員，不少朋友也同時(shí)負(fù)責(zé)單位的網(wǎng)站開(kāi)發(fā)維護(hù)的工作，對(duì)于WEB開(kāi)發(fā)我想大家都比較精通，可是對(duì)如何編寫(xiě)安全的腳本代碼和入侵者如何通過(guò)WEB方式對(duì)服務(wù)器進(jìn)行滲透的，可能就不是很清楚了，有不少朋友錯(cuò)誤的認(rèn)為我的服務(wù)器有硬件防火墻，而且只開(kāi)了80端口，是不會(huì)有網(wǎng)絡(luò)安全問(wèn)題的。下面我就向大家介紹幾種比較常見(jiàn)的腳本攻擊的方法，讓大家從中能夠找到安全防護(hù)的方法，從而提高服務(wù)器的安全性。

1、簡(jiǎn)單的腳本攻擊

此類攻擊是由于WEB程序編寫(xiě)上對(duì)特殊字符過(guò)濾不嚴(yán)密所造成的，雖說(shuō)不能對(duì)服務(wù)器的安全造成嚴(yán)重威脅，可是卻可以使入侵者發(fā)布含有HTML語(yǔ)句的惡意代碼，擾亂網(wǎng)站秩序，從而對(duì)網(wǎng)站產(chǎn)生不良影響。下面給大家舉個(gè)例子：某網(wǎng)站在進(jìn)行用戶注冊(cè)時(shí)，沒(méi)有對(duì)特殊字符進(jìn)行過(guò)濾，就有可能被無(wú)聊者利用，假設(shè)論壇的管理員ID為:webmaster，那就有可能有人在注冊(cè)用戶名時(shí)注冊(cè)成 webmaster ，盡管ID有區(qū)別，可是在頁(yè)面顯示卻是一樣的，如果無(wú)聊者把其他的信息改的和webmaster一樣，那別人就很難區(qū)分這兩個(gè)ID哪個(gè)是真的哪個(gè)是假的。有不少網(wǎng)站有自己開(kāi)發(fā)的留言板，而且支持提交HTML留言，這就給破壞者提供了機(jī)會(huì)，他們可以寫(xiě)一個(gè)自動(dòng)彈出窗口并打開(kāi)一個(gè)帶木馬的網(wǎng)頁(yè)的代碼，這樣別人在瀏覽這條留言時(shí)就有可能被種下木馬。防范方法很簡(jiǎn)單，加個(gè)過(guò)濾函數(shù)就可以了：

以上過(guò)濾函數(shù)中的String = Replace(fString, "<","") fString = Replace(fString, ">","")可以去掉語(yǔ)句中的“<”和“>”符號(hào)，使HTML代碼無(wú)法運(yùn)行。

2、Sql Injection 漏洞攻擊

也叫Sql注入攻擊，是目前比較常見(jiàn)的一種WEB攻擊方法，它利用了通過(guò)構(gòu)造特殊的SQL語(yǔ)句，而對(duì)數(shù)據(jù)庫(kù)進(jìn)行跨表查詢的攻擊，通過(guò)這種方式很容易使入侵者得到一個(gè)WebShell，然后利用這個(gè)WebShell做進(jìn)一步的滲透，直至得到系統(tǒng)的管理權(quán)限，所以這種攻擊方式危害很大。建議大家使用NBSI，小榕的WED WIS等注入工具對(duì)自己的網(wǎng)站掃描一下，看是否存在此漏洞。還有一種比較特殊的Sql注入漏洞，之所以說(shuō)比較特殊，是因?yàn)樗�是通過(guò)構(gòu)造特殊的SQL語(yǔ)句，來(lái)欺騙鑒別用戶身份代碼的，比如入侵者找到后臺(tái)管理入口后，在管理員用戶名和密碼輸入“'or '1'='1'”、“'or''='”、“') or ('a'='a”、“" or "a"="a”、“' or 'a'='a”、“' or 1=1--”等這類字符串（不包含引號(hào)），提交，就有可能直接進(jìn)入后臺(tái)管理界面，由此也可以看出對(duì)特殊字符進(jìn)行過(guò)濾是多么的重要。還有一點(diǎn)要注意，一定不要讓別人知道網(wǎng)站的后臺(tái)管理頁(yè)面地址，除了因?yàn)樯厦娴脑�因��，這也可以防止入侵者通過(guò)暴力破解后臺(tái)管理員用戶名和密碼等方法進(jìn)入后臺(tái)管理。這類攻擊的防范方法除了加上面提到的過(guò)濾函數(shù)外，還要屏蔽網(wǎng)站的錯(cuò)誤信息，同時(shí)也需要配置好IIS的執(zhí)行權(quán)限，以前的雜志也詳細(xì)介紹過(guò)防范方法，在這里不做詳細(xì)說(shuō)明。

3、對(duì)整站系統(tǒng)和論壇的攻擊

不少網(wǎng)站使用一些比如動(dòng)易，喬客，動(dòng)網(wǎng)，BBSXP等知名度高，功能強(qiáng)大的系統(tǒng)和論壇，由于這些系統(tǒng)的功能強(qiáng)大，所以不可避免的就帶來(lái)了不小的安全風(fēng)險(xiǎn)。因?yàn)榭梢詮木W(wǎng)上直接得到這些系統(tǒng)的代碼，再加上使用這些系統(tǒng)的網(wǎng)站比較多，所以研究這些系統(tǒng)漏洞的人也就很多，我們也就經(jīng)常會(huì)在網(wǎng)上可以看到某某系統(tǒng)又出最新漏洞的文章，建議大家經(jīng)常不定期的去這些系統(tǒng)的官方網(wǎng)站下載最新的補(bǔ)丁。

本文主要是為了讓廣大的WEB程序開(kāi)發(fā)人員提高安全意識(shí)和找到防范入侵者的方法，通過(guò)研究上面的一些入侵方法來(lái)防范入侵者的攻擊，請(qǐng)大家不要利用本文介紹的一些方法用于攻擊別人上，由本文方法造成任何損失，由使用者負(fù)責(zé)，本人概不負(fù)責(zé)。

分享：ASP：判斷訪問(wèn)是否來(lái)自搜索引擎的函數(shù)
判斷訪問(wèn)是否來(lái)自搜索引擎的函數(shù)，有興趣的可以試試！ 以下為引用的內(nèi)容： <% '檢查當(dāng)前用戶是否是蜘蛛人 Function check(user_agent) allow_age