ＡＳＰ網站常見漏洞及防范方法淺析

摘要：介紹利用ASP開發動態網站時存在的常見漏洞，比如用戶密碼漏洞、數據庫下載漏洞、非法文件上傳漏洞等，淺析漏洞產生的原因并給出了解決辦法。

關鍵詞：ASP漏洞；入侵防范；網站安全

1 用戶名與口令被破解

1.1 攻擊原理

用戶名與口令，黑客們往往可以通過啊D、明小子等軟件暴力破解。特別要記住限制萬能密碼('or'='or')的使用。

1.2 防范技巧

涉及用戶名與口令的程序最好封裝在服務器端，盡量少在ASP文件里出現， 涉及與數據庫連接的用戶名與口令應給予最小的權限。只給它存儲的權限，千萬不要直接給予該用戶修改、插入、刪除記錄的權限。再則，為了防止萬能密碼的使用，我們需加入以下代碼：

2 代碼不夠嚴格

2.1 攻擊原理

將出現如下這些情況：

(1) 直接上傳asp、asa、jsp、cer、php、aspx、htr、cdx之類的木馬，拿到shell。

(2) 在上傳時在后綴后面加空格或者加幾個點，例如：*.asp ，*.asp..。

(3) 利用雙重擴展名上傳，例如：*.jpg.asa格式(也可以配上第二點一起利用)。

(4) gif文件頭欺騙，gif89a文件頭檢測是指程序為了他人將asp等文件后綴改為gif后上傳，讀取gif文件頭，檢測是否有gif87a或gif89a標記，是就允許上傳，不是就說明不是gif文件。而欺騙剛好是利用檢測這兩個標記，只要在木馬代碼前加gif87a就能騙過去。

2.2 防范技巧

如果你的網站支持文件上傳，要特別注意asp網站上傳代碼的分析以防上傳文件的擴展名過濾不嚴。一……