導讀:搭建網站搭建網站1.用戶名與口令程序漏洞程序漏洞攻擊原理：用戶名與口令，往往是黑客們最感興趣的東西，如果被通過某種方式看到源代碼，后果是嚴重的。防范技巧：涉及用戶名與口令的程序國外技術網站公司網站搭建。

1.用戶名與口令程序漏洞 　程序漏洞攻擊原理：用戶名與口令，往往是黑客們最感興趣的東西，如果被通過某種方式看到源代碼，后果是嚴重的。防范技巧：涉及用戶名與口令的程序最好封裝在服務器端，盡量少在ASP文件里出現，涉及與數據庫連接的用戶名與口令應給予最小的權限。出現次數多的用戶名與口令可以寫在一個位置比較隱蔽的包含文件中。如果涉及與數據庫連接，在理想狀態下只給它以執行存儲過程的權限，千萬不要直接給予該用戶修改、插入、刪除記錄的權限。這樣就減少了程序漏洞帶來的威脅！

2.驗證程序漏洞 　程序漏洞攻擊原理：現在需要經過驗證的ASP程序大多是在頁面頭部加一個判斷語句，但這還不夠，有可能被黑客繞過驗證直接進入。 　防范技巧：需要經過驗證的ASP頁面，可跟蹤上一個頁面的文件名，只有從上一頁面轉進來的會話才能讀取這個頁面。

3.inc文件泄露程序漏洞 　程序漏洞攻擊原理：當存在ASP的主頁正在制作且沒有進行最后調試完成以前，可以被某些搜索引擎機動追加為搜索對象。如果這時候有人利用搜索引擎對這些網頁進行查找，會得到有關文件的定位，并能在瀏覽器中查看到數據庫地點和結構的細節，并以此揭示完整的源代碼。 　防范技巧：程序員應該在網頁發布前對它進行徹底的調試；安全專家則需要加固ASP文件以便外部的用戶不能看到它們。首先對.inc文件內容進行加密，其次也可以使用.asp文件代替.inc文件使用戶無法從瀏覽器直接觀看文件的源代碼。inc文件的文件名不要使用系統默認的或者有特殊含義容易被用戶猜測到的名稱，盡量使用無規則的英文字母。

4.自動備份程序漏洞 　程序漏洞攻擊原理：在有些編輯ASP程序的工具中，當創建或者修改一個ASP文件時，編輯器自動創建一個備份文件，比如：UltraEdit就會備份一個.bak文件，如你創建或者修改了some.asp，編輯器會自動生成一個叫some.asp.bak文件，如果你沒有刪除這個bak文件，攻擊者可以直接下載some.asp.bak文件，這樣some.asp的源程序就會被下載。 　防范技巧：上傳程序之前要仔細檢查，刪除不必要的文檔。對以BAK為后綴的文件要特別小心。

5.特殊字符程序漏洞 　

關鍵詞標簽: 搭建網站 基本 漏洞