ASP网站设计及网站建设
1. 优秀的网络资源,稳定的网站和速度保证
(配送双线独立ip空间,国际A级BGP机房,99.5% 的主机在线时间)
2. 7年北京高端网站建设公司经验,优秀的技术和设计水平,更放心
3. 全程省心服务,不必担心自己不懂网络,更省心。
------------------------------------------------------------
普通应用型 |
价格:4000元起 |
功能定位 |
专业北京高端网站建设公司,主要突出内容,适合中小型企业或者个人。强大的数据库及后台管理程序支持,动态显示、动态维护企业信息;在线动态发布产品 信息、在线上传产品图片 |
域 名 |
com /.net /.cn/com.cn任选一个(赠送) (免费赠送1年) |
网站空间 |
100M(支持html、ASP等脚本、数据每周备份,iis、 1个解析,10个子域名,10个URL转发 )、100M企业邮局( 10个邮箱,总空间100M ) (免费赠送1年) |
栏目及功能 |
首页,公司简介,产品展示,售后服务,联系我们,友情链接,计数器,在线QQ系统,加为收藏,设为首页 |
开发周期 |
3-7个工作日 |
售后服务 |
不动网站框架和设计免费技术支持一年。免费非经营许可ICP证备案 |
网站推广 |
搜索引擎排名基本优化, 免费google baidu yahoo zhongsou等搜索引擎登陆 |
附注:网站的内容及栏目可根据企业的不同要求做适当的调整。假如要建设更大型的网站,我们会根据网站的具体分析而另外报价。全FLASH网站将根据网站的美工及动画的实现难易度来衡量报价,最低1万5千元起。欢迎致电咨询!
北京高端网站建设公司,北京高端网站设计公司,高端网站做网站哪里好,哪里做高端网站好?北京传诚信广告有限公司是你做好的选择!24小时联系电话:01062199213
如需英文版网站建设,加收50%的费用,
请咨询传诚信客服人员010-62199213(全新全意为您服务)。
-------------------------------------------------------------------------------------
ASP注入应用漏洞解决方法
1、ASP程序连接 SQL Server 的账号不要使用sa,或任何属于Sysadmin组的账号,尽量避免应用服务有过高的权限,应使用一个db_owner权限的一般用户来连接数据库。
2、WEB应用服务器与DB服务器分别使用不同的机器来存放,并且之间最好通过防火墙来进行逻辑隔离,因为除了有程序在探测 sa 没密码的SQL Server,SQL Server 本身及大量的扩展存储过程也有被溢出攻击的危险。
3、数据库服务器尽量不要与公网进行连接,如果一定要直接提供公网的连接存储,应考虑使用一个非标准端口并限制IP地址来进行连接。
4、SA一定要设成强悍的密码,尤其是SQL Server 2000以前的版本,在默认安装Sql时sa账号没有密码,而一般管理员装完后也忘了或怕麻烦而不更改密码。
5、改掉缺省的Web虚拟路径,不要使用IIS装好后预设的<系统盘>\Inetpub\WWWRoot路径,否则利用前面叙述的另存为方式,很容易在该目录下动手脚。
6、将平时不使用的但功能强大的扩展存储过程删除。
7、使用网络和主机IDS来监控重要系统的运行状况。
8、随时注意是否有新的补丁需要补上,目前SQL2000最新的补本包为SP4。
9、尽量的利用ASP 或者 ASP.NET 在服务器端检查与限制输入变量的类型与长度,过滤掉不需要的内容。要注意的是这些检查不只是要放在前端,后端也要检测。 在前端利用Html Input 标签的MaxLength属性来限制输入长度,或是以Js cript编写程序来限定文本域的长度,但是只要将该网页另存为,修改内容后(一般只要改写Form的Action属性以及Input的MaxLength属性),重新用浏览器打开更改过后的页面就可以躲过这些浏览器前端的检查。
10、使用容错语句,不要显示错误信息到前端,利用VBs cript语法的On Error Resume Next来屏蔽SQL的出错提示,并搭配If Err.Number<>0 Then的错误处理方式,自行将错误重定向到适当的错误处理网页,如此系统将更稳固,且黑客也不容易透过错误信息来探知系统的内部运作方式。或者,也可以修改<系统盘>\Winnt\Help\iisHelp\common\500-100.html/web/asp" target="_blank">asp预设网页,最简单的方式就是将它改名。例:
on error resume next
sql2="select * from dv_admin where username='"&ReqStr("username")&"'"
11、使用过滤和防注入函数来过滤掉一些特殊的字符,防注入函数示例:
'----------------------------------- ----------------------------
Function ReqNum ( StrName ) /* 数值型变量过滤 */
ReqNum = Request ( StrName )
if Not isNumeric ( ReqNum ) then
Response.Write "参数必须为数字型!" Response.End
End if
End Function
Function ReqStr ( StrName ) /*字符型和搜索型过滤 */
ReqStr = Replace ( Request(StrName), "'", "''" ) /* 用replace函数屏蔽单引号 */
End Function
以下三句SQL语句,说明一下调用方法:
1.SQL="select * from dv_admin where username=" & ReqNum("username")2.SQL="select * from
dv_admin where username ='" &
ReqStr(" username ") & "'" 3.SQL="select * from username where UserName like '%" & ReqStr
(" username ") & "%'"
12、若想更换SQL Server 的执行服务账号,则该帐号需要以下的权限:
Log On Locally
Log On as a Batch
Access this computer from the Network
Log on as service
Replace a process level token
Act as part of the operating system
Increase quotas
13、使用Microsoft基线安全性分析器(MBSA)来评估服务器的安全性,并按照它的建议来更改系统的设定。
MBSA 是一个扫描多种Microsoft产品的不安全配置的工具,包括SQL Server和Microsoft SQL Server 2000 Desktop Engine(MSDE 2000)。它可以在本地运行,也可以通过网络运行。
该工具针对下面问题对SQL Server安装进行检测:
(1) 过多的sysadmin固定服务器角色成员。
(2) 授予sysadmin以外的其他角色创建CmdExec作业的权利。
(3) 空的或简单的密码。
(4) 脆弱的身份验证模式。
(5) 授予管理员组过多的权利。
(6) SQL Server数据目录中不正确的访问控制表(ACL)。
(7) 安装文件中使用纯文本的sa密码。
(8) 授予guest帐户过多的权利。
(9) 在同时是域控制器的系统中运行SQL Server。
(10) 所有人(Everyone)组的不正确配置,提供对特定注册表键的访问。
(11) SQL Server 服务帐户的不正确配置。
(12) 没有安装必要的服务包和安全更新。
-----------------------------------------------------------------------------------------------------
我们的与众不同之处:
免费网络营销顾问:我们为您提供免费的网络营销顾问服务,您需要了解关于如何开展网络营销,电子商务,网站设计等的事宜,欢迎随时联系我们。
seo友好的网站管理系统:除了优质的网站空间,网站管理系统,和网站设计外,我们的网站管理系统更是seo友好的,包括:自定义栏目名,Google Sitemap自动生成,静态页面生成等等,让您的网站。
免费网络营销培训:如何更好的投放网络广告,如何提高网络广告的投资回报,如何发帖子,
如何优化网站,我们有丰富的经验开放给您!祝君成功!
联系我们:010-62199213 62122723-808 贾先生
北京网站建设公司-传诚信网站:www.ccxcn.com 点击查看经典网站案例!