其实asp网站源码分享不防sql注入的的问题并不复杂,但是又很多的朋友都不太了解asp.net web 网站源码,因此呢,今天小编就来为大家分享asp网站源码分享不防sql注入的的一些知识,希望可以帮助到大家,下面我们一起来看看这个问题的分析吧!
网络钓鱼
网络钓鱼的原理及防范
网络钓鱼(Phishing,与钓鱼的英语fishing发音相近,又名钓鱼法或钓鱼式攻击)是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号ID、ATMPIN码或信用卡详细信息)的一种攻击方式。
获取敏感数据
*用户名
*口令
*账号ID
防范方法
*申请并安装数字证书(数字证书可验证双方身份的真实性)
*规范使用操作:
◆做到“三及时一避免”;不在不安全的地点进行在线交易;
◆不盲目接受英文邮件;认真查对短信的来源;
◆对要求重新输入账号信息要进行电话验证;
◆访问网站一定使用浏览器直接访问。
练习:
以下方法不能防范网络钓鱼的是()。
A.申请并安装数字证书
B.及时安装操作系统补丁
C.及时安装并升级杀毒软件
D.尽量避免使用浏览器直接访问网站
答案:D。数字证书保证身份真实性,安装补丁修复漏洞,安装杀毒软件查杀都是可以防范网络钓鱼的。
ARP欺骗
ARP欺骗(ARPspoofing),又称ARP毒化(ARPpoisoning,网络上多译为ARP病毒)或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网络上特定计算机或所有计算机无法正常连线。
1、攻击者C聆听局域网上的MAC地址。它只要收到两台主机洪泛的ARPRequest,就可以进行欺骗活动。
2、主机A、B都洪泛了ARPRequest.攻击者现在有了两台主机的IP、MAC地址,开始攻击。
攻击者发送一个ARPReply给主机B,把此包protocolheader里的senderIP设为A的IP地址,sendermac设为攻击者自己的MAC地址。
3、主机B收到ARPReply后,更新它的ARP表,把主机A的MAC地址(IP_A,MAC_A)改为(IP_A,MAC_C)。
4、当主机B要发送数据包给主机A时,它根据ARP表来封装数据包的Link报头,把目的MAC地址设为MAC_C,而非MAC_A。
5、当交换机收到B发送给A的数据包时,根据此包的目的MAC地址(MAC_C)而把数据包转发给攻击者C。
6、攻击者收到数据包后,可以把它存起来后再发送给A,达到偷听效果。攻击者也可以篡改数据后才发送数据包给A,造成伤害。
ARP欺骗的防范措施
防范方法
*在winxp下输入命令:arp-sgate-way-ipgate-way-mac
这命令进行ARP表固化,阻止ARP欺骗。
*使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
*采用双向绑定的方法解决并且防止ARP欺骗。(MAC地址和IP地址双向绑定)
*使用ARP防护软件—ARPGuard。通过系统底层核心驱动,无需安装其他任何第三方软件,以服务及进程并存的形式随系统启动并运行,不占用计算机系统资源,无需对计算机进行IP地址及MAC地址绑定,从而避免大量且无效的工作量。
练习:
以下关开ARP欺骗说法错误的是()。
A.实施ARP欺骗时首先应使要伪装的主机瘫痪,然后冒充该主机发送伪造的ARP应答
B.当被攻击的主机接收到伪造的ARP应答后,就会更新本地的ARP缓存,从而IP地址不变,MAC地址换成攻击者的了。
C.使用双向绑定的方法不能解决并防止ARP欺骗
D.使用ARPGuard可以防范ARP欺骗
答案:C.。
DNS欺骗
DNS欺骗的原理
DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。原理:如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了
DNS欺骗的检测
检测方法
被动监听检测:通过旁路监听的方式,捕获所有DNS请求和应答数据包,并为其建立一个请求应答映射表,如在一定的时间间隔内,一个请求对应两个或两个以上结果不同的应答包,则判断定受到了DNS欺骗攻击。
虚假报文探测:采用主动发送探测包的手段来检测网络内是否存在DNS欺骗攻击者。
交叉检查查询:在客户端收到DNS应答包之后,向DNS服务器反向查询应答包中返回的IP地址所对应的DNS名字,如二者一致说明没有受到攻击,否则说明被欺骗。
练习:
以下关于DNS欺骗说法错误的是()。
A.DNS欺骗首先是要冒充域名服务器
B.DNS欺骗其实质就是“黑掉”对方的网站
C.通过旁路监听的方式捕获所有DNS请求和应答数据包,并建立请求应答映射表,可以检测出DNS欺骗
D.使用交叉检查查询可以检测DNS欺骗
答案:B。不是黑掉,而是伪装冒充的方式。
IP欺骗
IP欺骗的过程及防范
IP欺骗的过程
①首先使被冒充主机的网络暂时瘫痪;
②然后连接到攻击的主机的某个端口来猜测ISN基值和增加规律;
③接下来把源地址伪装成被冒充主机的地址,发送带有SYN标准的数据段请求连接;
④然后等待被攻击的主机发送SYN+ACK包给已经瘫痪的主机;
⑤最后再次伪深圳市成被冒充主机向被攻击主机发送ACK,此时发送的数据段带有预测的目标的ISN+1;
⑥连接建立,发送命令请求。
防范方法
*删除UNIX中所有的/etc/hosts.equiv、$HOME/.rhosts文件,修改/etc/inetd.conf文件,使得RPC机制无法应用。
*通过设置防火墙过滤来自外部,而信源地址却是内部IP的报文。
练习:
以下关于IP欺骗说法错误的是()。
A.IP欺骗首先要使被冒充主机的网络瘫痪
B.在UNIX中预防IP欺骗可以通过删除和修改相关文件来实现
C.可以通过设置防火墙来防范IP欺骗
D.IP欺骗一般不会对目标系统造成损坏
答案:D。IP欺骗的目的1是发送大量的数据包使目标主机无法正常工作,2是伪装成为目标主机,要伪装就得先使目标主机瘫痪。
SQL注入攻击
SQL注入攻击过程
①发现SQL注入位置;
②判断后台数据库类型;
③确定XP_CMDSHELL可执行情况;
④发现WEB虚拟目录;
⑤上传ASP木马;
⑥得到管理员权限。
注入形式
http://xxx.xxx.xxx/adc.asp?p=YY
执行注入:http://xxx.xxx.xxx/abc.asp?p=YYanduser>0从运行的错误信息中可获知用户名
执行注入:http://xxx.xxx.xxx/abc.asp?p=YYand(selectpasswordfromloginwhereuser_name‘admin’)>0从运行的错误信息中可获知密码
练习:
注入语句:http://xxx.xxx.xxx/abc.asp?pYYanduser>0,不仅可以判断服务器的后台数据库是否为SQL-SERVER,还可以得到()。
A.当前连接数据库的用户数量
B.当前连接数据库的用户名
C.当前连接数据库的用户口令
D.当前连接的数据库名
答案:B。
以下网络攻击中,()属于被动攻击。
A.拒绝服务攻击
B.重放
C.假冒
D.流量分析
答案:D。
在以下网络威胁中()不属于信息泄漏。
A.数据窃听
B.流量分析
C.偷窃用户帐号
D.暴力破解
答案:D。
asp网站源码分享不防sql注入的的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于asp.net web 网站源码、asp网站源码分享不防sql注入的的信息别忘了在本站进行查找哦。