0

我对黑客技术和安全漏洞不是很熟悉,但我开始有点担心我们网站的安全性,它建立在 ASP Classic 之上,运行 IIS 7.5

我们使用 ASP 内联身份验证。在 ASP 文件中,我设置了用户名和密码。我已将某个用户名的访问限制为特定 IP 地址(员工使用的用户名),其他用户名使用手机短信收到的确认密码。

  1. 基于 IP 的身份验证安全吗?我听说过通过某些端口输入某个 IP 地址,从而从该某个 IP 地址获得访问权限。
  2. ASP 文件的内容会被黑客入侵和读取吗?
  3. 生成 SMS 时,ASP 脚本通过 XMLHTTP ' https://generate.sms-company-domain.com/?password= &acount=&message=Your Confirm password is ' 打开一个链接。有人可以收听被调用的 URL 并轻松获取 SMS 密码吗?
  4. 你能想到我们的登录方法有什么漏洞吗?

谢谢!

4

1 回答 1

0

如果 URL 以这种方式暴露,任何人都可以通过 fiddler 等工具读取密码或信息,那么您的第三点看起来像问题。

为了保护您的网站免受黑客攻击,请确保 1)您的网站使用了 SQL 注入技术 2)所有重要数据都通过 post 方法提交。3)需要注意跨站点脚本攻击,例如当有人加载页面时,它会在 cookie 中保存一个加密值,并在代码中读取该 cookie 值,以便我们可以确认该页面不是从其他地方调用的。

于 2013-02-28T11:54:24.877 回答