[探讨][老话题]ASP如何确保安全性...
asp写的程序,安全性最重要.
如何确保ASP网站的安全性,大家讨论下.WIN服务器和IIS就不用考虑了,我们只讨论ASP程序本身.
我先说4点.
1.确保上传功能的安全
2.所有POST,GET,COOKIES得到的数据都进行编码,替换掉SQL字符
3.避免逻辑错误(绕过密码验证)
4.禁止从外部提交数据.
欢迎大家讨论.
------解决方案--------------------我觉的安不安全不是语言本身决定的,微软的操作系统还有漏洞呢
------解决方案--------------------ASP刚学不久,,不太清楚。。。
------解决方案--------------------关注
------解决方案--------------------学习~
------解决方案--------------------1.写完后将数据库名称修改为一个复杂的.
2.防止跨站.
3.防止%5c爆出数据库地址.
最重要的一点,百密必有一疏,写程序的人的思维和习惯最重要,当然服务器管理员的作用也不容小视.
------解决方案--------------------ASP的漏洞已被挖的很深,存在安全隐患最大的还是系统漏洞
------解决方案--------------------顶,是个头疼的问题~~~
------解决方案--------------------上传功能 漏洞是最大问题,呵呵;
------解决方案--------------------把数据库扩展名改成.asp,然后数据库名字前加#
------解决方案--------------------正在学,关注下
------解决方案--------------------安全性依赖编码人的素质。
------解决方案--------------------最好把数据库文件隐藏的深一些,再换成类似这样的,../fdasf/fdjsa2345/jfowie/# ffjko123.asp这样好些。
------解决方案--------------------入门选手.....遥望.....
------解决方案--------------------1.确保上传功能的安全
--------------------------------------
这个限制上传类型基本就可以了
--------------------------------------
2.所有POST,GET,COOKIES得到的数据都进行编码,替换掉SQL字符
3.避免逻辑错误(绕过密码验证)
-------------------------------------
这两个可以用一个通用的函数过滤敏感字符
Public Function Checkstr(Str)
If Isnull(Str) Then
CheckStr = " "
Exit Function
End If
Str = Replace(Str,Chr(0), " ")
CheckStr = Replace(Str, " ' ", " ' ' ")
End Function
Sql = "Select * Form [Table] Where Para= ' "& CheckStr(Request( "aaa ")) & " ' "
-------------------------------------
4.禁止从外部提交数据.
-------------------------------------
判断访问来源就行了
------解决方案--------------------继续关注
星级人物怎么没来顶贴
------解决方案--------------------学习中
------解决方案--------------------顶下吧,学习中
------解决方案--------------------现在sql用户多还是ac多?
------解决方案--------------------禁止外部提交没有作用,关键还是做好程序验证。
------解决方案--------------------mark
------解决方案--------------------如果只考虑语言漏洞.
那么ASP最致命的便是 \0 字符漏洞..
这点做好了.那么也就差不多了.
------解决方案--------------------sql注入。
貌似只有这些了。
至于逻辑错误啥的,不只是asp,是所有语言都应该避免的
------解决方案--------------------