多谢

前日无聊，在baidu里找了下“ASP安全”，结果却查到N多入侵的教程而安全配置的资料相对很少很少，介于现在的文章都是教 怎么入侵，那我就献丑下，把我自己如何防护的方法说一下吧.。更希望能引出更多的安全防范方面的讨论。
我现在所假设的是asp整站系统+access数据库的情况，至于SQL+asp的，风清扬有过发表，高手的二篇文章真的精彩极 了；可惜目前个人网站基本都没有这个条件，所以我讲下asp+access的组合，如果有表达错误的地方，希望大家严厉地批评并 指出，多谢：）

1. 第一个应该是管理员登陆时的密码较验了，如输入1’or’1’=’1等就可以直接进入管理员页面。虽说这个漏洞 很老了，但是目前存在这个漏洞的系统很多，尤其是新闻系统，二年前开发的ASP程序基本都存在着这个漏洞；其实只要把’用别的符 号代替下就可以避免类似错误的。

2. 第二个是大家用烂的对于参数过滤不严而导致的跨表查询。如x.asp?id=2 and 1=1很多人都知道怎么攻击，却不知道如何堵住这漏洞，这倒是个很奇怪的现象，既然由于id参数过滤没有过滤引起的攻击，那我们 就应该在出现漏洞的那个页面中加入这样一段代码
<%
dim ZeTa
ZeTa=request("id")
if isnumeric(ZeTa)=0 or ZeTa="" then
response.write "oh my god!!!there's a hack!!!"
response.end
end if
%>
如果你愿意，可以把进行类似攻击的人重定向到别的页面去，这里就不多说了。

3. session认证不得不说是个对付cookie伪造的好方法。而且可以严格根据用户的级别使用户进入相应页面 。具体可以参照动网的后台验证代码。

4. 把数据库进行MD5加密。下载回来的ASP源程序，有多半是没有加密的，密码明文躺在那儿，看着怪不舒服的，为 了你的安全，别懒了，动手吧。

A. 从动网那里拉个MD5.ASP过来，作为加密你数据库用的

B. 然后在你的用户登陆页面最上边插入这样一句：<!--#include file="md5.asp"-->

C. 接着找到大概这样一句话：pass=Request("pass")，把它改成pass=md5(Reques t("pass"))
这样一来，你的数据库就算被下载，也有一段时间让对方破解了，如果你的密码够强壮，那你嘿嘿嘿地笑吧。由于采用了session 认证防止了cookie伪造，安全系数又加强了很多。

5. 数据库防下载。在第四期的X档案LCX提到了一个暴网站数据库的方法，很痛苦地，我的小站也被暴了下。其实网络 上早有资料介绍更改数据库结构从而防止下载。
首先在你的MDB文件中建一个表，表中取一个字段名随便叫什么，接着在表里建一个字段。字段中填入:<%=’a’-1%& gt;，最后在数据库名前加个#，个人认为，这样更改的话应该相对比较安全。当然也不能保证绝对安全，现在的网络，牛人太多，说 不定文章出来时已经又有别的方法下载咯。

6. post攻击。常见的就是把登录页面拉到自己本地去，然后修改一些参数再次提交，如果你的全部数据过滤都在表单 上，那么你就可能不幸了；常见的例子就是留言本，可以进行post提交数据。那么如何防止呢？这样一段代码可以检查对方提交的u rl是否来自外部。

<%
dim server_v1,server_v2
server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))
server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))
if mid(server_v1,8,len(server_v2))<>server_v2 then
response.write "不要从站点外提交参数"
response.end
end if
%>

7. 文件上传。LCX大哥的hackbook里收集了好几个关于上传漏洞利用的文章。又很大地扩充了我的防范思路。 个人感觉如果不怕麻烦的话可以把上传的文件全部读出，如文件格式，文件大小，文件里是否包含有恶意字符等。当然我们不是专业的代 码编写者，可以向写的好的程序借鉴的呀。

文章写到结尾的时候动网的上传文件出了一个很大的漏洞，大致地看了下，很多网站的上传程序都有这种类似的错误，也就是说一个AS P后门就轻轻把所以的防范一指弹破，可怕ing……

后来到幻影看了下，应该是文件名字符串截断的问题，如果想让没有破坏力，路径中不允许包含 . 就可以了。因此就这个漏洞，这样段代码应该可以了
If inStr(Request("formPath",".")) > 0 Then Response.write "漏洞已补" :Response.end

这篇文章是看到了很多网站被涂了页面才写的，个人以为，找漏洞是好事，但找出后何必把人家改得面目全非？当然我们没本事叫人家不 改，所以只有先动手改自己了。

文章写出后也感觉有些地方不是很完美，希望大家把我没说好的地方补全；也感谢lilo在我写动网漏洞补救时给的帮助，以前我老是 损你，呜呜呜~~~真的对不起哦，借这宝贵的版面再次感谢你：）

附风清扬的文件类型校验代码

'判断文件类型是否合格
Private Function CheckFileExt (fileEXT)
dim Forumupload
Forumupload="gif,jpg,bmp,jpeg"
Forumupload=split(Forumupload,",")
 for i=0 to ubound(Forumupload)
  if lcase(fileEXT)=lcase(trim(Forumupload(i))) then   CheckFileExt=true
   exit Function
  else
   CheckFileExt=false
  end if
 next
End Function

‘验证文件内容的合法性
set MyFile = server.CreateObject ("Scripting.FileSystemObject")
set MyText = MyFile.OpenTextFile (sFile, 1) ' 读取文本文件
sTextAll = lcase(MyText.ReadAll): MyText.close '判断用户文件中的危险操作
sStr ="8|.getfolder|.createfolder|.deletefolder|.createdirectory|
.deletedirectory"
sStr = sStr & "|.saveas|wscript.shell|script.encode"
sNoString = split(sStr,"|")
for i = 1 to sNoString(0)
if instr(sTextAll, sNoString(i)) <> 0 then
sFile = Upl.Path & sFileSave: fs.DeleteFile
sFileResponse.write "<center><br><big>"& sFileSave &"文件中含有与操作目录等有关的命令"&_
"<br><font color=red>"& mid(sNoString(i),2) &"</font>，为了安全原因，<b>不能上传。<b>"&_"&l t;/big></center></html>"
Response.end
end if
next

溢出就是好，直接得到shell，大都且是ADMIN SHELL

下面的再写就有看头了，嘿嘿

这里有SQL注入与ASP木马上传