常见ASP网站漏洞防范策略

网站的防范除了从技术上制订一些措施外,如经常对Web服务器软件升级、安装相应的补丁等,还要注意以下问题。
(1)出错信息越模糊越好,这里的出错信息包括程序的错误信息和对攻击行为的提示 。
(2)密码要健壮。后台管理的账号密码应与管理员个人常用的不同,以防他人从别处得到网站的密码《如果有多个管理员,要保证所有人的密码都是“健壮的”,即不能像“admin, 123456,生日,电话”这样容易猜测,必须是数字、字母和符号的组合。
(3)访问网站时提示发现病毒。遇到这种情况,十有八九是被入侵了,而且几乎可以是上传漏洞被利用入侵者在网页中加入了病毒代码,企图让网站访问者中毒。遇到这种情况,首先应该马上替换掉染毒页面,然后按应对非法入侵的方法进行处理。
(4)要把数据库的扩展名改为.asa。
(5)天天关注你负责的网站。把你管理的网站设为浏览器的首页,每天至少看一次, 特别是节假日,因为节假日恰恰是攻击的高发时段。
(6)定期修改密码。功能越复杂,可能出现的漏洞越多,除非你对自己的技术很有信心,否则请谨慎向用户开放上传等容易受到攻击的功能。
(7)定期备份数据库和供下载的文档。网站如果不是经常更新,访问量不大,大概每 —次;反之每天一次。不要怕麻烦,这个制度很有必要,特别是经常对外发布信息。
(8)网站改版后,如需保留旧版,要记得删除旧版的后台。如果改版,应及时删除旧后台管理,特别是上传模块。同时,注意清理放到网站上的文件,不要把包含敏感信息的文档放到网站空间里。很多人以为在网页上看不到的文档就是安全的,其实不然。
(9)给用户尽可能少的功能和权限。
(10)文件时间一致原则。


扫描二维码分享到微信