asp我对后台安全的一些做法

作者:gjr1 来源:经典论坛 时间:2011-09-01 19:22:09 

加强ASP网站后台安全一些主要措施:
-------------------------------------------------------------------------------------------------
想想自己第一次做的网站,就遭到一个美国的IP不断功击(也并非全是坏事,因为这件事,使我从DW转向手写代码,呵呵,说来还得感谢这个人),前不久,最新完成的一个网站,不断有人直接访问备份数据库的后台文件,我为网站提供了更改管理文件夹名称的功能,但仍然马上被找到(我想他是用什么黑客软件扫描网站所有文件,并看那个文件名带有“db"字样吧),但均被踢出,我们网站仍然安然无事,现在这个网站后台功击者少了很多,也安静了。

1、使用IP或IP段,明确指定一个IP是最佳的,如果不行,可以用IP段来缩小可登入权限,

2、把管理员的帐号和密码写入页面,不要用数据库。
一般的教材通常都是教人在会员库做一个admin权限的会员,但是如果是AC数据库——特别是中小企业的网站,库被下载且密码被破,则也不存在安全;虽然现在不少服务器都能提供路径外存放数据库,也可以用#号之类的命名和改名数据库,但对于管理员权限,我认为都比不上直接用FSO把管理员的密码和帐号写到文件上,不要存在数据库。

3、为密码附加一个字串:
也许这招是多余的,但在防不胜防的情况下,我还是在用它,因为不花什么精力,
大家都知道,简单的密码易于破解,也听说有人破解过MD5密码,但现在最难也最易用的,可能还是MD5密码,那怎么加强?
对于有密码常识的人,可能会知道取一个各种组合的密码难被破解,但特别对于很多前台会员注册来说,一般人取的密码还是很简单的,也许当你的作品交付给客户时,他们的管理人员也会取个“123”的密码,如果MD5真有人破解,那也是这些简单的密码先“挂彩”。
不过可以在为这些会员以及后台管理员调一个“附加串”,如:

Dim pwd,pwdStr
pwdStr="02!adb@a2k"   '就是这个串
pwd=trim(request.form("password"))
pwd=Md5(Md5(pwd&pwdStr))   '和字串组合后,用MD5加密。

这样,不管设的密码多么简单,在加强后都会变的复杂。

4、善用服务器。
网站安全,除程序严谨以外,服务器安全设置也是很重要,现在大服务器商安全方面都做的不错,但如果是自己的服务器,就要加强。
也要充分利用服务器提供的功能,比如:路径外保存数据库;将非法IP保存到服务器拒绝IP行列中等等。

5、给功击者一点彩色。
这招是我的一个台湾老师开玩笑说的,不过我觉得可以用(然而我自己到现在为止还没用上这招)——如果你不堪其烦时,为什么不反击呢?
给功击者增加难度或处理时间,或许也是双方解脱的一个办法,因为双方都很“烦”,“当两个人打的爬在地上时,这时调解是最容易的”。

比如:把确认为非法登入者导入到病毒网页,或者转到一个“疯狂+疯狂”弹窗的页面。或者,你还有更狠的绝招就使出来。


其它的,在安全方面加强,我觉得都没有以上前四点来的重要,如果要修补,也应优先从session着手,cookies则最好不用,也不要把后台的session或cookies命名与前台会员登入相同。对于http://bbs.blueidea.com/thread-2727974-1-1.html这个帖子来说,可能还存在未正确验证,就先输出cookies,而严格来说,应该在后台登入界面就已经开始着手验证了。
此外,“偷”个少输入帐号的麻烦,换来网站数据崩溃,是你的过错,没有任何良方可以让这么点小懒都想“偷”的人可以无后顾之忧。我个人的看法,当启用了IP限制后,才是考虑是否开放cookies,否则就免了吧。

标签:安全,后台,asp
0
投稿

猜你喜欢

  • 用openCV和Python 实现图片对比,并标识出不同点的方式

    2023-08-31 09:30:55
  • volatile保证可见性及重排序方法

    2022-07-22 03:14:59
  • php将文件夹打包成zip文件的简单实现方法

    2024-05-11 09:48:14
  • 深度学习TextRNN的tensorflow1.14实现示例

    2023-12-31 18:59:23
  • .net 上传文件前所未有的简单

    2023-07-17 23:20:04
  • 在keras 中获取张量 tensor 的维度大小实例

    2023-08-27 21:58:12
  • python pandas模糊匹配 读取Excel后 获取指定指标的操作

    2022-07-24 07:48:32
  • python自动循环定时开关机(非重启)测试

    2022-11-23 21:27:45
  • Python实现完整的事务操作示例

    2023-11-15 21:02:02
  • MySQL中几种数据统计查询的基本使用教程

    2024-01-13 22:29:56
  • Mysql入门系列:MYSQL日志文件维护

    2008-11-24 13:10:00
  • python 实现Harris角点检测算法

    2023-08-03 08:08:31
  • MySQL数据库的自动备份与数据库被破坏后的恢复

    2010-03-18 15:30:00
  • python3.4下django集成使用xadmin后台的方法

    2022-05-09 19:36:42
  • eWebEditor在线HTML编辑助手下载及安装使用说明

    2008-10-11 13:58:00
  • Python内置函数dir详解

    2023-05-29 13:38:10
  • Python 提速器numba

    2021-04-27 21:14:06
  • mysql alter语句用法实例

    2024-01-25 12:32:53
  • python如何读取bin文件并下发串口

    2021-12-21 17:09:21
  • 浅谈Python中的正则表达式

    2023-11-02 12:48:18
  • asp之家 网络编程 m.aspxhome.com