入Webshell漏洞
漏洞简介:
有些网站的后台程序没有对网站配置信息部分做充分的过滤,恶意用户在进入后台后可以向其配置文件中写入一句话木马,然后利用一句话木马客户端进行连接。
防御方法:
对于网站信息配置文件中的内容进行有效的过滤,从而防止这种情况的发生。
六、.asp
后缀数据库安全隐患
漏洞简介:
对于使用Access数据库的网站,管理员为了防止其数据库被下载,便将原来的.mdb后缀修改为了.asp后缀,但这样做一样存在安全隐患,如果数据库中不存在有防下载表的话,用户通过Flashget这样的
软件一样可以将数据库下载下来。
而且如果数据库中不存在防下载表的话,用户如果向数据库中写入asp代码的话,譬如一句话木马的代码,这样当用户使用一句话木马客户端连接数据库文件时,其中的代码就会被解释并且执行,直接危急网站的安全!
防御方法:
对于.asp后缀的数据库,建议在其中加入防下载表,这样对于恶意下载数据库以及asp代码的执行都起到了很好的防御作用!
七、上传漏洞
漏洞简介:
如果程序对用户上传文件的类型没有做好严格过滤的话,用户即可上传譬如.asp这样的文件,从而危及网站及服务器的安全。
防御方法:
有些程序员只是在客户端使用
Javascript或者VBScript对用户上传文件的类型进行过滤,但这样的过滤是根本不起作用的,因为用户可以控制客户端脚本的内容。
建议在服务器端对上传的文件类型进行严格的过滤,禁止用户上传任何对服务器安全具有威胁的文件,譬如.asp文件。
还有就是在IIS的设置中禁止保存上传文件的目录的可执行权限,这样即使非法用户成功上传了对服务器安全构成威胁的文件,但该文件也是无法被成功解析的,自然就失去了它原有的意义。
这些是ASP入侵基础。以后我还会发一下ASP基础给大家看的。