摘要:所谓跨站漏洞呢?其实这和现在比较热门的SQL注入的原理有异曲同工之处,都是由于程序员在写程序的时候对一些变量没有做充分的过滤,或者没做任何的过滤就直接把用户提交的数据送到SQL语句里执行,这样导致了用户所提交的一些特意构造的语句 一般都是带有象JAVAScript等这类脚本代码,这样在服务里一旦被执行就形成了所谓的跨站攻击了。一般来说对于人机交互行比较高的程序,比如论坛,留言版这类程序都比较容易存...
阅读全文
摘要:对待ASP网站的攻击,黑客一般会使用ASP木马如海洋顶端ASP木马进行入侵。其实我们只要采取一定的措施就能够有效预防ASP网站被入侵事件的发生。本文重点讨论ASP网站如何防御ASP木马。文中案例所使用的ASP网站平台是在国内有着广泛用户群的动易网站管理系统免费版以及动网论坛免费版,具有一定的代表性。 适合读者:网管、安全爱好者 预备知识:ASP编程 小知识:什么是ASP木马 它是...
阅读全文
摘要:一 、 Windows 2003 Enterprise Edition IIS6 目录检查漏洞的描述 1. Windows 2003 Enterprise Edition是微软目前主流的服务器操作系统。 Windows 2003 IIS6 存在着文件解析路径的漏洞,当文件夹名为类似hack.asp的时候(即文件夹名看起来像一个ASP文件的文件名),此时此文件夹下的任何类型的文件(比如.gi...
阅读全文
摘要:加密web.config中的内容 1、Create an RSA keypair in ContainerName, -exp means the key is exportable(创建一个密钥容器) aspnet_regiis -pc "ConnectionStringsKey" -exp ConnectionStringsKey为密钥容器的名称 可以使用aspnet_regiis /?查...
阅读全文
