28,406
社区成员
发帖
与我相关
我的任务
分享求助:我的asp网站被攻击
(1)我的后台的所有页面都是用的session验证的,不知道是怎么进来的.
(2)我的后台的文件上传是有格式限制的(仅限doc,txt,htm)但是那个侵入者却在我的uppic文件夹里传了两个asp文件(hoho.asp、guest.asp)来修改我的网页文件。为什么我限制了格式侵入者还是传上来了asp文件?还是他先传txt格式再用什么程序改的扩展名?
求答!
(2)我的后台的文件上传是有格式限制的(仅限doc,txt,htm)但是那个侵入者却在我的uppic文件夹里传了两个asp文件(hoho.asp、guest.asp)来修改我的网页文件。为什么我限制了格式侵入者还是传上来了asp文件?还是他先传txt格式再用什么程序改的扩展名?
求答!
...全文
请发表友善的回复…
发表回复
雄牛 2005-12-28
- 打赏
- 举报
A.检测IIS的安全级别,设定最安全的级别.
B.Session可能已经猜测,或是您使用了网上下载的源码(马上检测)
C.更换后台管理的位置,目录,一定要设一个只有你才能认的后台登陆文件夹名,文件名.
mrwang2000 2005-12-28
- 打赏
- 举报
一个session变量存在于一个浏览器窗口的生命周期中,
比如
打开一个浏览器,你的asp程序给他分配一个session变量,你会发现,只要这个浏览器没关,或者session变量没到期,那么它就始终存在,是不是您的某个程序中会分配session变量,他借助这些session进入的呢??
比如
打开一个浏览器,你的asp程序给他分配一个session变量,你会发现,只要这个浏览器没关,或者session变量没到期,那么它就始终存在,是不是您的某个程序中会分配session变量,他借助这些session进入的呢??
ytss 2005-12-28
- 打赏
- 举报
我的网也在后台也是限制了的。但是他怎么还是传了个asp文件上去,那是站长助手文件用于修改我的其他网页。
如果说先传txt文件上去再改扩展名的话会用到备份功能,但是我的网站没有用于备份的功能页面,他要改扩展名的话还需要上传一个改扩展名的asp文件吧?但是我后台程序限制了asp文件他根本不可能上传任何asp文件的啊!!
如果说先传txt文件上去再改扩展名的话会用到备份功能,但是我的网站没有用于备份的功能页面,他要改扩展名的话还需要上传一个改扩展名的asp文件吧?但是我后台程序限制了asp文件他根本不可能上传任何asp文件的啊!!
匿名用户8823 2005-12-28
- 打赏
- 举报
入侵一般是上传你规定的格式,比如txt,word等格式。然后利用网站的备份功能,改名为asp。这样便可篡改你的网站内容,如果文件夹权限大,还可以实现打包等操作。
rootcn 2005-12-28
- 打赏
- 举报
在后台也要判断,过滤。
前台的页面可以任意写的。
前台的页面可以任意写的。
rootcn 2005-12-28
- 打赏
- 举报
关于(2),你是在哪限制的?如果是javascript判断的,哪别人可以跳过的,
你在接收文件用的 asp 里进行判断,在这里也要过滤掉asp等文件,
另外分析下别人上传的asp是做什么用的
你在接收文件用的 asp 里进行判断,在这里也要过滤掉asp等文件,
另外分析下别人上传的asp是做什么用的
ytss 2005-12-28
- 打赏
- 举报
高手快来啊!小弟急
