当前位置: 首页 > 图文教程 > 网络编程 > ASP > 关于如何保障Winnt +asp +sql web站点的安全经验

ASP
asp实现取得数组中的最大值的代码
asp 将日期格式化为需要的格式
asp 下产生任意位数随机密码的代码
asp下返回以千分位显示数字格式化的数值
asp重定向页面的方法总结
asp下去除数组中重复的项的方法
asp下实现 重新排序数字数组的代码
asp 验证输入网址是否有效并可以访问 与正则验证输入网址
asp验证Ip格式的函数
asp实现生成由数字,大写字母,小写字母指定位数的随机数
asp 格式化sql中的like字符串
asp 实现显示所有的服务器变量值的函数
asp 取得用户真实IP,对代理地址仍然有效的函数
asp 通用数据库连接过程函数
asp 字符串截取函数
asp下实现格式化文件大小以MB显示的函数
asp 下用正则表达式检测邮箱格式的函数
asp 实现检测字符串是否为纯字母和数字组合的函数
asp代码实现检测组件是否安装的函数
asp通过JMAIL实现通用发送函数

ASP 中的 关于如何保障Winnt +asp +sql web站点的安全经验


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-03   浏览: 184 ::
收藏到网摘: n/a

       以下是我的一些经验,希望对你有用,但你要知道,绝对的安全是没有的。这才是一个网管存在的理由。所以。未雨绸缪是件好事。但亡羊补牢也不是下策。
   请看我的经验:
   1。多看看ms的安全公告,这是首选。订阅安全技术杂志。(MS免费的!)如果是正版的nt,则会有最新的安全E-mail。保证及时更新。
   2。多大补丁,一定要注意顺序,如果安装了系统软件,则还要重补。(如后面加上了smtp服务,则还要重补sp1等等,否则可能导致旧文件不会被覆盖)。
   3。提高安全策略,也可以用微软的安全模板。有一些很好的自动模板。可以根据需要自动加上。
   4。加大审核力度,审核权限比较大的操作。
   5。密码按时更改。必须符合策略。
   6。常上一些安全论坛。如:绿盟科技,妖狐站点。
   7。账号的级别一定要多分一些,如果可一实现功能,就不要给更大权限。
   8。去掉多余的服务。如:(ftp,smtp,nntp,telnet)多余的脚本,例子。如IIS中好多的脚本库,都可以不要。
   9。去掉一些危险的命令。不要共享c盘。
   10。常看看日志,事件。
   11。不要安装html的远端管理。
   12。最好安装一些黑客工具,模拟攻击。看看是否出了问题。
   13。安装端口扫描工具。看看是否有些不用的开放端口。
   14。安装一些防止窃听的工具,去除一些隐藏在端口的sniffer,防止密码数据被截获。
   15。远程管理时最好调试端管理。密码加密策略高一些。防止被截获。
   16。用注册表修改掉某些选项。如自动显示最后一个登录着的姓名。
   17。改掉administrator的缺省姓名。这样可以多一级保护!
   18。密码策略
   19。密码的安全策略。多少位的密码是安全的。这个很怪。按照ms的加密算法。只有14位以上的密码是可能安全的。但实际上很少有人能记住那么多位的密码。但14位一下。7位密码比较安全。(很怪吧。)微软工程师说有时7位比10位还要保险。呵呵,具体原因说起来比较复杂。我是给我老弟讲课的。省略吧。
   20。建议密码有字母。数字。大小写组成。最好加上一些如!·#¥%()等的字符。也很难被猜到。
   21。用户名改掉缺省的admini.....后,可以建一个14位长的管理员名。可以全部用字母。这样就加大了一级保护。
   22。加大策略。防止用枚举法猜出账号名。
   23。加入防止5次登录失败后,自动锁定账号20分中。防止暴力法突破。
   24。建立分类的密码策略。不要用一些内置账号。如“sa”。
   25。将sa的密码加大。最好不要常用他。建一个另外的管理员账号。然后对每一个自建的数据库都建一个分类账号。asp中最好用他来连接。这样就可以保障其他数据库的安全。
   26。去掉一些权限。不允许普通用户用比较危险的存储过程。
   27。不允许除管理员外的账号远程连接。或是加上命名管道。
   27。asp如果能用dsn,就不要用连接字符串。并采取包含文件的模式包含进来。