預備知識:ASP編程 ASP木馬入侵原理 要預防木馬的入侵,就要先了解入侵的原理。想通過ASP木馬入侵,必須先將木馬上傳到目標空間,然後直接在客戶端瀏覽器裏面運行木馬,接著就可以進行文件修改、目錄刪除等等具有破壞性的工作。 黑客入侵ASP網站壹般使用兩種方式: 第壹種是上傳木馬後,利用木馬以及操作系統漏洞在Windows啟動項裏添加壹個批處理文件,用來添加管理員賬號,然後用管理員賬號停止防火墻運行和進行文件修改刪除等操作。 第二種是上傳木馬後,直接通過木馬刪除網站裏面的目錄和文件。 找準關鍵對癥下藥 通過分析可以發現,我們提到的兩種入侵方式都是利用ASP網站的上傳功能,先上傳木馬,然後借助木馬對文件進行修改刪除等操作。簡單說來,要做的第壹步就是阻止ASP文件的上傳;其次,如果被上傳了ASP木馬,就要杜絕木馬的運行。 ASP木馬本身就是個ASP文件。所以很關鍵的壹點是限制ASP文件的上傳。壹般ASP網站本身就有文件上傳功能,並且默認是限制了ASP文件的上傳,不過黑客能夠想方設法上傳他們的木馬文件。 安全與便捷並行 要防患於未然,壹些前期工作必須先做好。首先就是養成及時備份的習慣;其次,如果妳的網站采用ACCESS數據庫,那麽要保證妳網站的主數據庫不能以MDB為擴展名,將擴展名改成ASP,這樣可以防止黑客直接下載到網站數據庫並猜解網站管理員密碼;第三,網站管理員密碼位數推薦超過12位。 限制ASP執行權限 雖然無法通過殺毒軟件查殺ASP木馬,但可以采取其他方法進行有效防範。就知名的動易網站管理系統或者動網論壇來說,默認是允許註冊用戶上傳文件的。黑客可以利用工具將ASP木馬偽裝後上傳至服務器。 關鍵就在於他們上傳文件所存放的目錄是固定的,具體說就是通過網站上傳的文件只會出現在我們ASP網站程序所指定的目錄下。 如果要完全限制網站註冊用戶上傳文件的權限是不現實的。所以,我們能做的第壹步,就是禁止ASP文件在此目錄的執行權限。目的就是讓上傳來的ASP木馬無法執行。具體方法如下: 打開IIS,右鍵點擊網站裏面供上傳的目錄,點擊屬性,我們可以看到屬性窗口;將此目錄的"執行權限"設置成"無";用同樣的方法,再將存放數據庫的文件夾以及其余幾個可供用戶上傳文件的文件夾的"執行權限"全都設置成"無"。 服務器上的安全設置 即使限制了上傳目錄的ASP的執行權限,但也無法保證服務器的絕對安全。所以,服務器上面也要進行壹些設置。 服務器操作系統以Windows 2003為例,首先當然是要將磁盤轉為NTFS格式。其次,可以將默認的Administrator改名,並設置足夠位數的密碼(推薦12位以上)。為了欺騙黑客,還可以另外建壹個名為Administrator的賬號,並設置密碼,賦予最低權限。 在Windows 2003操作系統裏面設置相應文件夾的權限。由於網站做好後壹般壹段時間都不會隨便對源代碼進行修改,所以可以對不需要進行修改的地方設置只讀權限,僅開放幾個上傳的文件夾的可寫權限。對系統默認的Everyone的權限進行限制,拒絕Everyone的刪除以及修改權限。僅在我們需要對網站進行修改的時候,才暫時將此限制去掉。具體操作過程如下: 對存放網站的文件夾點擊右鍵,點擊"***享和安全";在安全選項卡上,可以看到屬性窗口;為限制Everyone的權限,點擊下面的高級按鈕;在彈出的"高級安全設置"對話框中的"權限"選項卡上,點擊"添加";在"選擇用戶或組"底下的框中輸入名稱"Everyone",再點擊"確定"; 在出現的對話框中勾選"創建文件/寫入數據"、"創建文件夾/附加數據"、"刪除子文件夾及文件"、"刪除"、"更改權限"的拒絕權限,並設置將它應用到"該文件夾及文件"。 同樣的方法,再對網站裏面的各個子文件夾進行設置,拒絕壹些網管對不需要修改的文件夾的更改、寫入數據等權限。要註意的是,供網站用戶上傳文件的文件夾,要保留其寫入的權限。 由於Windows的用戶組權限是拒絕優先,所以設置好後要測試,供上傳的文件夾不能限制其寫入權限。 我們做好了這些權限的設置之後,可以自己試著對網站的文件或者文件夾進行改名、刪除等操作,看看是否會提示拒絕訪問或者沒有這個權限。
上一篇:求MATLAB解運籌學實例問題!下一篇:數據庫應用中表單的設計是基於什麽編程的思想