重庆显示器上门维修维护

 重庆打印机上门维修维护 重庆电脑维修网点 3721电脑维修专家

重庆电脑维修 重庆上门维修电脑维护 公司电脑专业外包
【讯闪科技 3721电脑维修中心】   正规公司运营  

热线电话: 023-62227000  62607382 

  资讯中心

ASP注入应用漏洞解决方法大全

浏览 字体[ ]
  

1、ASP程序连接 SQL Server 的账号不要使用sa,或任何属于Sysadmin组的账号,尽量避免应用服务有过高的权限,应使用一个db_owner权限的一般用户来连接数据库。

2、WEB应用服务器与DB服务器分别使用不同的机器来存放,并且之间最好通过防火墙来进行逻辑隔离,因为除了有程序在探测 sa 没密码的SQL Server,SQL Server 本身及大量的扩展存储过程也有被溢出攻击的危险。

3、数据库服务器尽量不要与公网进行连接,如果一定要直接提供公网的连接存储,应考虑使用一个非标准端口并限制IP地址来进行连接。

4、SA一定要设成强悍的密码,尤其是SQL Server 2000以前的版本,在默认安装Sql时sa账号没有密码,而一般管理员装完后也忘了或怕麻烦而不更改密码。

5、改掉缺省的Web虚拟路径,不要使用IIS装好后预设的<系统盘>\Inetpub\WWWRoot路径,否则利用前面叙述的另存为方式,很容易在该目录下动手脚。

6、将平时不使用的但功能强大的扩展存储过程删除。

7、使用网络和主机IDS来监控重要系统的运行状况。

8、随时注意是否有新的补丁需要补上,目前SQL2000最新的补本包为SP4。

9、尽量的利用ASP 或者 ASP.NET 在服务器端检查与限制输入变量的类型与长度,过滤掉不需要的内容。要注意的是这些检查不只是要放在前端,后端也要检测。 在前端利用Html Input 标签的MaxLength属性来限制输入长度,或是以JScript编写程序来限定文本域的长度,但是只要将该网页另存为,修改内容后(一般只要改写Form的Action属性以及Input的MaxLength属性),重新用浏览器打开更改过后的页面就可以躲过这些浏览器前端的检查。

10、使用容错语句,不要显示错误信息到前端,利用VBScript语法的On Error Resume Next来屏蔽SQL的出错提示,并搭配If Err.Number<>0 Then的错误处理方式,自行将错误重定向到适当的错误处理网页,如此系统将更稳固,且黑客也不容易透过错误信息来探知系统的内部运作方式。或者,也可以修改<系统盘>\Winnt\Help\iisHelp\common\500-100.asp预设网页,最简单的方式就是将它改名。例: 

on error resume next

sql2="select * from dv_admin where username='"&ReqStr("username")&"'"

11、使用过滤和防注入函数来过滤掉一些特殊的字符,防注入函数示例: 

'----------------------------------- ---------------------------- 

Function ReqNum ( StrName ) /* 数值型变量过滤 */ 

ReqNum = Request ( StrName ) 

if Not isNumeric ( ReqNum ) then 

Response.Write "参数必须为数字型!" Response.End 

End if 

End Function 

Function ReqStr ( StrName ) /*字符型和搜索型过滤 */ 

ReqStr = Replace ( Request(StrName), "'", "''" ) /* 用replace函数屏蔽单引号 */

End Function

以下三句SQL语句,说明一下调用方法: 

1.SQL="select * from dv_admin where username=" & ReqNum("username")2.SQL="select * from 

dv_admin where username ='" & 



ReqStr(" username ") & "'" 3.SQL="select * from username where UserName like '%" & ReqStr

(" username ") & "%'" 

12、若想更换SQL Server 的执行服务账号,则该帐号需要以下的权限:

Log On Locally

Log On as a Batch

Access this computer from the Network

Log on as service

Replace a process level token

Act as part of the operating system

Increase quotas

13、使用Microsoft基线安全性分析器(MBSA)来评估服务器的安全性,并按照它的建议来更改系统的设定。

MBSA 是一个扫描多种Microsoft产品的不安全配置的工具,包括SQL Server和Microsoft SQL Server 2000 Desktop Engine(MSDE 2000)。它可以在本地运行,也可以通过网络运行。

该工具针对下面问题对SQL Server安装进行检测:

本新闻共2页,当前在第1页  1  2  

                                                                                                                                                             已被阅读:


 

重庆电脑维修上门电脑维护电脑外包 公司包月维护

 

【讯闪科技 pc3721电脑维修中心】 正规公司运营 技术实力优秀 服务有保障!  

 

热线电话: 023-62607382 66399947

下一篇:[技术资料:前置USB跳线接法[图][12-29]]
上一篇:[狂人狂语!2007史玉柱十大经典语录]
  
  服务承诺
 

Pc3721电脑维修中心承诺修不好不收费:

Pc3721电脑维修中心专业提供电脑维护服务,如果由于是我们技术的问题而导致无法解决你的电脑故障,我们将不收取如何费用。

Pc3721电脑维修中心提供全方位电脑故障解决方案:

Pc3721电脑维修中心专业提供电脑维护服务,不限品牌、组装、软件、 硬件、网络,全方位一体化解决任何电脑故障问题。

Pc3721电脑维修中心提供快速、即时的上门维修服务:

Pc3721电脑维修中心即时响应,主城6区内2小时上门 (渝中区,南坪区,江北区,沙坪坝,杨家坪,渝北区),免除您的一切奔波。

Pc3721电脑维修中心提供专业、全面的免费咨询服务:

Pc3721电脑维修中心提供免费咨询业务,任何用户任何电脑故障或疑问,提供无条件免费电话指导。
电脑维修 重庆电脑维修 重庆维修电脑  解放碑电脑维修 弹子石电脑维修 渝中区电脑维修 沙坪坝电脑维修 南坪电脑维修 回龙湾电脑维修 南坪电脑上门维修 南坪上门维修电脑 四公里电脑维修 杨家坪电脑维修 石桥铺电脑维修 谢家湾电脑维修 龙湖电脑维修 朝天门电脑维修 观音桥电脑维修 五里店电脑维修 鲁能星城电脑维修 大渡口电脑维修  上海城电脑维修 上海城电脑维修 嘉德电脑维修 金台电脑维修 步行街电脑维修 区府电脑维修 五公里电脑维修 六公里电脑维修 八公里电脑维修 二小区电脑维修 四小区电脑维修 五小区电脑维修 石坪桥电脑维修 冉家坝电脑维修 渝北电脑维修 罗马假日电脑维修 重庆显示器维修 重庆打印机维修 重庆电脑上门维修 重庆上门维修电脑

服务热线电话: 023-62227000 62607382 投诉电话 023-62607382-87 传真:62607382-88(自动)

24小时服务热线电话:

重庆电脑上门维护
我们能为您做什么?
方便:
您只需拔打我们的维修热线62227000 62607382我们就会派工程师亲自上门维修。
省时:
中午、晚上、节假日,您只要泡上一壶热茶细细品茗,我们就能为您维修好电脑。
经济:
每天只需1元钱,365天天天享受专业的电脑维护服务。
放心:
上门服务,您再也不用担心电脑硬件被换错了

经营宗旨 -- 为顾客真诚服务!
顾客是企业生存和发展的基础。我们最重要的工作目的就是用高质量的技术,全方位的服务满足顾客的需求,想顾客之所想,急顾客之所急,通过我们的努力工作,让更多的顾客认可、满意就是我们创造的价值!

★ 特约合作伙伴