以我與“駭客”的一段遭遇簡單談ASP的安全性

來源:互聯網
上載者:User
安全|安全性 我做了一個網站 www.zydn.net ,算是個人首頁吧,雖不是以個人名義,但確實只有我一個人做這個事,我的站有一套後台系統,用ASP寫成的,主機用的萬網的,但昨天我一上網,發現我的調查被改了,我還以為是我自己輸入錯了。趕忙改回來,不過過一會兒看又被改啦,還改得更厲害:調查是,問我寫的一個軟體是否有用,我準備的答案是:
很有用,有所協助,完全沒有用,
他給我改成了:很沒用,有什麼協助?完全沒用。
還有,我有一個字幕,說我的軟體好,我自己當然說自己好啦,他竟給我搞成了
這是一堆雜草,不過網上需要有一些雜草的,還有一些人身攻擊的話!!!
還改了我的一些欄目名,我氣慘了。

因為我的網站用後台系統來控制的,所以我猜他是進入了後台。
我在站上的一個子目錄中放了一個背景示範程式,而ASP頁面驗證是否為合法的使用者是用判斷一個存有密碼的SESSION是否為空白來實現的,所以只要先進子目錄進入示範用的後台,再輸入網站背景檔案名稱就可能進入,於是我把示範的程式全刪了,但我發現他仍在搞破壞!!

我早聽說過用特殊的代碼做密碼,但我沒試過,也沒在意,更沒有去想過要這樣進別人的後台,我想他是不是用的這樣的方法呢?所以連夜改程式,我想他一定會再來,就放了個檢測IP的程式,和檢查他輸入的內容的程式,結果發現他竟是在密碼中輸入了一個 'or''=' 進的我的網站,我自己也試了一個,果然進得,
於是馬上開工,讓每一個頁面驗請密碼都要與庫中的密碼比較,終於,他沒能進來了!!!又完善了記錄日誌,記下了“攻擊”類型,時間,IP,輸入的字元,管理員進入的時間,IP等。在我的記錄日誌上,留下了那位朋友的豐功偉績,他用 ' 用 'or'= 用 'or ·····,試圖進我的站,前後搞了近一個小時。

但總調庫又太慢,所以我又把庫中的密碼存到了一個檔案名稱很古怪,副檔名為ASP的檔案中,檔案內容為:<% mimaint=***** %>插入到ASP頁中,這樣好象要快一點。我又仔細研究他們輸入的特殊語句,竟然有想用SQL語句刪除我的記錄的,雖然這個語句並沒能得逞,但我還是怕那位高手搞成功了,所以乾脆又加了一個語句,發現凡是有單引號的,統統認為是非法密碼。我還想看是不是總是同一個人,於是給每一個輸錯過密碼的,或知道我後台檔案名稱試圖直接進入的瀏覽器都存了個cookies,編上號。。哈哈。。後來我自己看了都覺有趣,好啦,我就能做到這些啦,我知道,對一個真正的高手,這隻是以紙包火,但致少可以使我的程式稍安全一些。如果有人攻擊了伺服器,搞到我的原始碼,那肯定一切都是空話,(····呵呵。。。我才不怕呢,我正好找萬網算帳。。。。還我幾千大洋來!!!)

還望高手指教,同時感謝那幾位“駭客”我在他們的協助下學到不少東西,但大家千萬不要去改我的站啊。。。進入了後台請給我發個EMAIL如何?阿餘先謝啦

最後,還要做個宣傳,請大家多多訪問我的站,這是一個以介紹電腦技術為主的網站,這個網站最重要的是會為大家提供一套我自認為還可以的網站後台,(這個程式最大的好處是上網抄文章特快,手腳快一點的話,一小時搞一兩百篇不成問題)資料庫有ACCESS和SQL SERVER兩種,另外還有我從學習ASP以來寫的一些小東東,如論壇,留言,調查,超市等,阿餘在 http://www.zydn.net 歡迎大家
我再對這個系統的做一些說明:

資料庫:有SQL和ACCESS兩種版本(其實就是串連庫的一個語句不一樣啦),示範用的是ACCESS,因為我沒有能用SQL的空間。
最大欄目級數:11級。
最小欄目級數:1級
每級新聞最多:不限
使用者分級最多:9級
使用者分級最少:1級
每欄目子欄目數最多:不限(不能有重名同級)
每欄目最少子欄目數:無
示範在www.Zydn.net/
請朋友們多多批評指教



相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。