最近我负责了公司的程序安全管理 但是以前对于安全这一块并不是研究很深 想在这里 和朋友们共同探讨下 我认为想要能够防范网站的危险 那就要先知道网站攻击有哪些方法 在这里 我想先写出来一些我知道的 然后希望朋友们能够给补充 本帖 先只列出来 攻击的方法（概要） 等基本全面了 再逐个的研究他的攻击具体方法 以及防范方法吧。。。希望大家能够支持我 在这里先谢谢了 。。。。

ASP网站入侵方法（概述）
1、用户名与口令被破解
2、验证被绕过
3、inc文件泄露问题
4、自动备份被下载
5、特殊字符
6、数据库下载漏洞
7、远程注入攻击
8、ASP木马（利用文件上传）

不知道 还有没有其他的方法呢？不全的地方希望朋友们发帖上来啦~~~

[此贴子已经被作者于2007-9-5 16:07:01编辑过]

总结起来就这些吗 还有其他的吗？同时希望大家给说说sql注入方面的 因为我认为sql注入这部分还是比较重要的也是比较难防的 我公司一个网站的config.asp包含文件就被人修改了添加了牛逼的木马程序能够实现完全的对服务器操作 可是并没有上传功能啊 前台 不知道是如何做到的 请大家给分析下

能否把你的防注入程序 发上来我看看啊？ 希望是比较全面的

request.servervariables("query_string")
这个是什么意思为什么这么写？难道都要取吗？
<%=Request.ServerVariables("ALL_HTTP")%>
<%=Request.ServerVariables("AUTH_PASS")%>
<%=Request.ServerVariables("AUTH_TYPE")%>
<%=Request.ServerVariables("CONTENT_LENGTH")%>
<%=Request.ServerVariables("CONTENT_TYPE")%>
<%=Request.ServerVariables("GATEWAY_INTERFACE")%>
<%=Request.ServerVariables("PATH_INFO")%>
<%=Request.ServerVariables("PATH_TRANSLATED")%>
<%=Request.ServerVariables("QUERY_STRING")%>
<%=Request.ServerVariables("REMOTE_ADDR")%>
<%=Request.ServerVariables("REMOTE_HOST")%>
<%=Request.ServerVariables("REMOTE_IDENT")%>
<%=Request.ServerVariables("REMOTE_USER")%>
<%=Request.ServerVariables("REQUEST_BODY")%>
<%=Request.ServerVariables("REQUEST_METHOD")%>
<%=Request.ServerVariables("SCRIPT_NAME")%>
<%=Request.ServerVariables("SERVER_NAME")%>
<%=Request.ServerVariables("SERVER_PORT")%>
<%=Request.ServerVariables("SERVER_PROTOCOL")%>
<%=Request.ServerVariables("SERVER_SOFTWARE")%>

ODBC里设置数据源 是什么意思 我不是很懂 放段代码 你们看看 算不算 ODBC里设置数据源
Db = "database/bbsxp7.mdb" '数据库路径
Connstr="Provider=Microsoft.Jet.OLEDB.4.0;Data Source="&Server.MapPath(db)
Set Conn=Server.CreateObject("ADODB.Connection")
Conn.open ConnStr

\0代表什么？

我已经明白了odbc设置数据源了呵呵 在控制面板里

能否给个 你认为严密的 文件类型验证 代码 还有就是 验证文件内容的合法性 和 判断用户文件中的危险操作  的代码

哇 受益匪浅啊！！！ 能不能再把\0之类的东西 说的全面点 包括他的意思 谢谢啦~~~ 这些都是我所不知道的

代码过滤\0之类的非法字符 是不是用 replace 替换啊 是在上传地址中 过滤吧

[此贴子已经被作者于2007-9-6 13:24:16编辑过]

我使用的是化境无组件上传 我测试了下 那个后面跟\0.jpg的方法 也不能让asp文件上传上去 是不是就算是阻止了这种方法的木马上传呢？