昨天的服务器被黑的事件中，我自己也是有一些责任，因为平时懒得对服务器安全进行设置，有些设置其实几分钟就可以设置完成，可就是懒惰，结果万一服务器被恶意破坏，就需要花费更多的时间恢复数据，因此服务器安全设置早期打好基础，危难时期就会减少很多无谓的损失。 　　下面我就结合自己的经验和教训总结一下服务器安全设置的一些技巧和方法。 　　一、操作系统的安装 　　我这里说的操作系统以Windows 2000为例，高版本的Windows也有类似功能。 　　格式化硬盘时候，必须格式化为NTFS的，绝对不要使用FAT3...

　　这篇文章是我十年前写的第二篇在杂志上发表的文章。发表在微电脑世界1997年的第三期上。 　　那个年代我对计算机病毒也非常感兴趣。在九二年我刚上大学时候，对计算机病毒其实一点概念也没有，只是感觉计算机病毒是很神秘很高深的东西。对于病毒程序能够在不同电脑之间传播，那时感觉很不可思议。 　　那的确是个很古老的时代，我们用的操作系统是DOS 3.31，学的是TRUE BASIC，电脑是33M主频的PC/AT，286是当时最先进的机器。那时候的电脑病毒也很有意思，比如小球病毒，就是一个活蹦乱跳的小圆点，不停地运动...

　　因为IIS（即Internet Information Server）的方便性和易用性，使它成为最受欢迎的Web服务器软件之一。但是，IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web服务器，是很多人关心的话题。 　　构造一个安全系统 　　要创建一个安全可靠的Web服务器，必须要实现Windows 2000和IIS的双重安全，因为IIS的用户同时也是Windows 2000的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全： 　　1. 使用NTFS文件系统，以便对文件和...

　　本文档列举出一些建议和最佳做法，以保证 Web 上运行 Microsoft Windows 2000 和 Internet Information Services (IIS) 5 的服务器的安全。这些设置侧重于安全性而不是性能方面。因此认真阅读以下的建议并运用它们来获得适用于自己企业的设置是很重要的。 注意 本文档是由“Designing Secure Web-Based Applications for Microsoft Windows 2000”，Microsoft Press，ISBN: 0735609950 改编而来。 那些熟悉 Internet Information Server 4 清单的客户将注意到本列表要远短于 Internet Information ...

　　Win2000操作系统的一个主要特色就是将IIS融入其内核之中，并提供一些用来配置和维护软件的向导工具，使构建一个Internet网站轻松易得。但是，如果要创建一个安全可靠的Internet网站，实现“地面部分”－Win2000操作系统和“空中部分”－IIS的双重安全，还需要更加全面和深入的工作。本文就对这些稳固工作中的空中部分－IIS进行讨论，旨在帮助管理员一步步地实施网站安全构建工作。 　　一、TCP/IP方面要重点考虑的安全配置信息 　　Win2000提供了三种方式对进站连接进行访问控制，以下...

　　自从搞ASP+ACCESS没少为避免数据库下载而伤过神，网上的奇淫技巧更是数不胜数，本文就是同大家共同探讨各路前辈的留下的秘笈并指中其中的优劣，最后为大家提供一种最佳的解决方案。 　　一、开篇 　　自从搞ASP+ACCESS没少为避免数据库下载而伤过神，网上的奇淫技巧更是数不胜数，本文就是同大家共同探讨各路前辈的留下的秘笈并指中其中的优劣，最后为大家提供一种最佳的解决方案 　　二、剖析 　　为了防止ACESS数据库下载，小的见过不少方法，主要有以下几种： 　　1、数据库加密--------这个自然不用说了，...

仅仅代表我的观点.不怕见笑.有问题请大家指教!我想如果你是牛人,那这个已经不是值得你看的内容,只是觉得对与很多刚入门的ASP程序员来说还是有点实际意义,所以不怕被大家笑话,写了贴在这里!   <%Function checkStr(str) if isnull(str) then checkStr = "" exit function end if checkStr=replace(str," ","") checkStr=replace(str,"'","'") checkStr=replace(str,";","'") checkStr=replace(str,"--","'") ...

众所周知，FileSystemObject组件的强大功能及破坏性是它屡屡被免费主页提供商(那些支持ASP)的禁用的原因，我整理了一下，本来只找到两种方法，后来被某人一刺激，硬是想到第三种不为人所知的方法，呵呵，也不知道是不是这样的。 第一种：用RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll(win98路径)来注销该组件。此方法过于狠毒，属于同归于尽的方法，大家都没得用，是下招 第二种：修改Progid的值，在ASP里调用组件的方式通常是 Set 对象名=Server. CreateObject("Progid")，这时候我们就可以通过修改注册...

　　看完入门篇和进阶篇后，稍加练习，破解一般的网站是没问题了。但如果碰到表名列名猜不到，或程序作者过滤了一些特殊字符，怎么提高注入的成功率？怎么样提高猜解效率？请大家接着往下看高级篇。 　　第一节、利用系统表注入SQLServer数据库 　　SQLServer是一个功能强大的数据库系统，与操作系统也有紧密的联系，这给开发者带来了很大的方便，但另一方面，也为注入者提供了一个跳板，我们先来看看几个具体的例子： 　　①http://Site/url.asp?id=1;exec master..xp_cmdshell "net user name password /ad...

　　在入门篇，我们学会了SQL注入的判断方法，但真正要拿到网站的保密内容，是远远不够的。接下来，我们就继续学习如何从数据库中获取想要获得的内容，首先，我们先看看SQL注入的一般步骤： 　　第一节、SQL注入的一般步骤 　　首先，判断环境，寻找注入点，判断数据库类型，这在入门篇已经讲过了。 　　其次，根据注入参数类型，在脑海中重构SQL语句的原貌，按参数类型主要分为下面三种： 　　(A) ID=49 这类注入的参数是数字型，SQL语句原貌大致如下： 　　Select * from 表名 where 字段=49 　　注入的参数...

　　随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高，程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。 　　SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果...

　　随着ASP 技术的发展，网络上基于ASP技术开发的网站越来越多，对ASP技术的支持可以说已经是windows系统IIS服务器的一项基本功能。但是基于ASP技术的木马后门，也越来越多，而且功能也越来越强大。由于ASP它本身是服务器提供的一贡服务功能，所以这种ASP脚本的木马后门，不会被杀毒软件查杀。被黑客们称为"永远不会被查杀的后门"。由于其高度的隐蔽性和难查杀性，对网站的安全造成了严重的威胁。因此针对ASP木马的防范和清除，为我们的网管人员提出了更高的技术要求。下面我结合个人的经验，谈一下对...