因胸联盟 发表于 2015-1-16 23:15:22

ASP网页编程之一个通用的回护ASP体系的办法

想法是和程序员的想法不一样的.至于为什么.大家去想一想.跟心理学有关的研讨了毛病,我就想办理的办法,我总结一下,内里有我想的一个不成熟的设法。
是给妙手看的,看看是否是一种办理已知和未知SQL注进毛病的好办法。
这个是我想的不成熟的办法,我以为能办理年夜部分以知和未知的SQL注进毛病,让进侵者弄不到暗码!
起首我先剖析年夜多半的SQL注进,道理不过就是对办理员敏感的信息举行推测,因而都必要晓得办理员表名,用户变量和暗码变量才干举行推测如
http://ip/art/list.asp?id=253and1=(selectidfromadminwherelen(password)=10)
,而收费的ASP体系最年夜的弱点是甚么?数据库的贮存敏感的信息的中央都是一样的!!
试想关于下面的注进,我不晓得贮存办理员的表为admin,我怎样大概举行打击呢?呵呵人人都想到了吧,我说的办法就是本人修正表名和ASP代码,以到达回护的目标,让进侵者猜到吐血,也找不出!
此办法我以为合适年夜多半的文章办理和下载体系,等asp体系
仍是实战一下,关于动网文章体系3。4的修正,
第一步:修正数据库
用access翻开数据库,然后在表名admin上点右键选择重定名,我定名为admin1234(呵呵,你可要定名个随机难猜的啊)
第二步:修正ASP代码
一样平常我门只需修正相干的SQL语句就能够了。
先找出必要修正的文件,恩,翻开WINDOWS的搜刮,选择搜刮动网文章的文件夹,然后在搜刮前提为包括笔墨"admin",必定要加引号,暗示此字符串独自存在,不包括在其他字符串中,这时候就出来了13个文件,然后翻开文件,我发明只要一出搅扰就是
ifsession("admin")=""then他也包括admin,其他的均为SQL语句查询里,以是我看了一下断定了该改的文件有
chkadmin.aspsaveuser.aspsaveuer1.aspadminuser.asp
修正为,用记事本翻开,并使用其搜刮交换的功效,将一切fromadmin交换为fromadmin1234,实在就是碰到sql="select*fromadminwhereflag或相似的SQL语句,就将admin修正为admin1234,然后保留,
好了,到此就修正完了,然后测试了一下,还行,没有成绩。这下即便有新毛病我也不怕了,由于进侵者猜不到我的表名,呵呵。
这就是一次复杂实战,关于其他的ASP体系也是相似的。
到这里我不太中意,由于我在用手工修正,谁能包管不堕落,并且关于论坛类的ASP是不成能的。
以是我的设法是用软件批量的修正文件,如许的功效的软件应当有,能够本人找,或编,可是我仍是以为欠好,由于有很多多少搅扰的要素,如下面的的ifsession("admin")=""then就不克不及改的,软件是欠好判别的。以是我以为关于这个办法应当在业界行成编程的新标准。仍是拿动网来做例子
关于动网的BBS,他能够在编写的时分,关于贮存用户和办理员的表名起一个与BBS代码没有反复的表名,然后随论坛公布一个软件,在用户安装后,批量修正数据库和论坛文件代码中贮存办理员的表名为用户本人界说的表名。如许就办理了修正时文件过量,和不异字符搅扰的成绩,而你本人界说的办理员的表名被猜出的概率极底,进侵者猜不出来就没法举行SQL注进打击了,即便是他发明了新的注进毛病,云云平安性年夜年夜进步了。
我但愿的是这个办法能够完成,如许在用户失掉文件后能够本人界说敏感数据,以免尽年夜多半已知和未知的SQL打击。
这是我找的一个好工具,十分不错的批量文件字符交换程序。
自我点评一下,我对前两篇文章不是很中意的,即动网毛病和浪客暗码,我只是在原本的常识上反复事情,没甚么用,而这篇文章我以为能够无效的改动平安成绩,我看了一下,假如关于一个如上办法处置的BBSXP论坛,即便是没有补钉关于BBSXP毛病倒着看1、2、4、五都是生成免疫的,关于动网,假如也用下面的办法处置过,那末,关于”相对面前的浅笑-再谈DVBBS毛病“,“收费版dvBBS的另外一类毛病“,”SqlInjectionwithAccess“等毛病也是生成免疫的,以是我对这个办法仍是抱着很年夜但愿的,假如能成为一种标准,应当对平安的奉献是年夜的,固然今朝还不可,但我想未来能够行,并且如今关于小范围的ASP体系能够手工修正。
</p>缺点:正版成本价格贵(盗版就不说了)、不够安全,大多数服务器用windows系统,没有linux安全

乐观 发表于 2015-1-17 17:54:01

多看多学多思。多看一些关于ASP的书籍,一方面可以扩展知识面一方面可以鉴借别人是如何掌握、运用ASP的;多学善于关注别人,向同学老师多多学习,不论知识的大小;多思则是要将学到的知识灵活运用。

若相依 发表于 2015-1-20 23:51:45

还有如何才能在最短的时间内学完?我每天可以有效学习2小时,双休日4小时。

小女巫 发表于 2015-1-30 07:52:25

接下来就不能纸上谈兵了,最好的方法其实是实践。实践,只能算是让你掌握语言特性用的。而提倡做实际的Project也不是太好,因为你还没有熟练的能力去综合各种技术,这样只能使你自己越来越迷糊。

admin 发表于 2015-1-30 12:55:10

最近在学asp,不要问我为什么不直接学.net,因为公司网站是asp做的所以有这个需要,卖了本书asp入门到精通,对里面的六大内置对象老是记不住,还有很多属性和方法看的头晕。

若天明 发表于 2015-2-16 02:52:01

多看多学多思。多看一些关于ASP的书籍,一方面可以扩展知识面一方面可以鉴借别人是如何掌握、运用ASP的;多学善于关注别人,向同学老师多多学习,不论知识的大小;多思则是要将学到的知识灵活运用。

愤怒的大鸟 发表于 2015-3-4 23:14:05

在平时的学习过程中要注意现学现用,注重运用,在掌握了一定的基础知识后,我们可以尝试做一些网页,也许在开始的时候我们可能会遇到很多问题,比如说如何很好的构建基本框架。

飘灵儿 发表于 2015-3-11 21:20:06

另外因为asp需要使用组件,所以了解一点组件的知识(ADODB也是组件)

老尸 发表于 2015-3-19 13:54:20

虽然ASP也有很多网络教程。但是这些都不系统。都是半路出家,只是从一个例子告诉你怎么用。不会深入讨论,更不会将没有出现在例子里的方法都一一列举出来。

变相怪杰 发表于 2015-3-28 05:29:28

兴趣爱好,那么你无须学编程,申请一个域名和空间,在网上下载一些免费开源的CMS系统,你不用改代码,只须熟悉它们的后台操作,像office一样简单方便,很快就能建一个站点,很多站长都是这样做的
页: [1]
查看完整版本: ASP网页编程之一个通用的回护ASP体系的办法