读《拒绝黑客——ASP.NET WEB应用程序安全性剖析》
作者:asky 日期:2005-10-16
你的Web应用程序难道安全吗?
这是这本书的封面上的一行字,正是看到这行字,我翻开了此书,由于一向重视Web应用程序(网站或者B/S结构的应用软件)的安全性,所以对这本书很有好奇感。
一直接触ASP,深知由此构建的Web应用程序在安全性方面是十分脆弱的。无论是职业黑客还是黑客爱好者,与我们之间永远是一种攻防的角色关系,很多时候我认为要想成功的防守,首先要研究如何进攻,找到攻击手段,才能清楚攻击的原理,因此便能实施有效的防守;
除了实践之外,当然还有一种简便的方式,就是学习。
粗略翻阅了一下此书,发现有很多实际用到的东西出现在上面,值得欣慰的是,通过实践得到的结论与专家研究的内容差别不大,当然,条件所限,我没有研究过书中提到全部的内容,因此,认真阅读我觉得是非常必要的。
经常亲眼看到很多网站被黑,除去服务器本身被黑客攻击这种无法控制的因素,绝大多数情况下是由于漏洞百出的程序造成,给了黑客太多机会,怎能不被黑呢。
说到这里我想起前几天的一件事,为了给一个网站的论坛导入一些假数据,我想到干脆找一些已经有很多数据的别人的数据文件,于是上Google搜索"Power by Dvbbs"(此论坛也采用Dvbbs),当然,一搜一大堆,过程非常简单,打开,先看有没有数据(我不要空数据库),然后在地址栏输入"对方论坛地址/数据库路径/dvbbs7.mdb"(dvbbs7.mdb是默认数据文件名),多数论坛修改了此文件名,此方法无效,但是查看了大约20个左右,我就找到了4个可下载的文件,其中有2个很聪明,dvbbs7.mdb 是没有数据的,只是没有删除而已,当然另外两个就很有用了,这样的网站安全性何来?
这是这本书的封面上的一行字,正是看到这行字,我翻开了此书,由于一向重视Web应用程序(网站或者B/S结构的应用软件)的安全性,所以对这本书很有好奇感。
一直接触ASP,深知由此构建的Web应用程序在安全性方面是十分脆弱的。无论是职业黑客还是黑客爱好者,与我们之间永远是一种攻防的角色关系,很多时候我认为要想成功的防守,首先要研究如何进攻,找到攻击手段,才能清楚攻击的原理,因此便能实施有效的防守;
除了实践之外,当然还有一种简便的方式,就是学习。
粗略翻阅了一下此书,发现有很多实际用到的东西出现在上面,值得欣慰的是,通过实践得到的结论与专家研究的内容差别不大,当然,条件所限,我没有研究过书中提到全部的内容,因此,认真阅读我觉得是非常必要的。
经常亲眼看到很多网站被黑,除去服务器本身被黑客攻击这种无法控制的因素,绝大多数情况下是由于漏洞百出的程序造成,给了黑客太多机会,怎能不被黑呢。
说到这里我想起前几天的一件事,为了给一个网站的论坛导入一些假数据,我想到干脆找一些已经有很多数据的别人的数据文件,于是上Google搜索"Power by Dvbbs"(此论坛也采用Dvbbs),当然,一搜一大堆,过程非常简单,打开,先看有没有数据(我不要空数据库),然后在地址栏输入"对方论坛地址/数据库路径/dvbbs7.mdb"(dvbbs7.mdb是默认数据文件名),多数论坛修改了此文件名,此方法无效,但是查看了大约20个左右,我就找到了4个可下载的文件,其中有2个很聪明,dvbbs7.mdb 是没有数据的,只是没有删除而已,当然另外两个就很有用了,这样的网站安全性何来?
评论: 0 | 引用: 9 | 查看次数: 10800
发表评论
你没有权限发表评论!