ASP Security by Soroush Dalili - Intelligent Exploit
ASP Security by Soroush Dalili - Intelligent Exploit
ASP Security by Soroush Dalili - Intelligent Exploit
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
رمز گشايي نكند.اين خطاها مي تواند باعث شود كه در برخي شرايط ورودي بعد از رد كردن اعتبار-سنجي، دوباره رمزگشايي گردد و شامل داده هاي مخرب و كنترل نشده باشد.محدود سازي سرويس دهنده ها مانند سرويس هاي پايگاه داده: همواره مينيمم سيستم موردنياز را داشته باشيد. براي نمونه سعي كنيد رويه هاي ذخيره شده پيش فرض خطرناك و استفاده نشدهرا كه به مهاجم كمك زيادي مي كنند، مانند XP_CmdShellدر ،MSSQL از پايگاه داده حذفكنيد. در واقع وقتي از چيزي استفاده نمي كنيد، هيچ دليلي ندارد كه آن را روي سرويس دهنده فعالنگاه داريد.در زبان :<strong>ASP</strong> استفاده از توابع بازدارنده:چون در اين زبان معمولا از مفسر استفاده مي شود،-نياز به توابع كنترلي قدرتمند دست ساز احساس مي شود. توجه كنيد كه هيچ گاه يك عبارت را حذفنكنيد، بلكه تنها آن را جايگزين كنيد تا باعث آسيب پذيري نگردد. تابع زير يك مثال براي جلوگيري ازحملهدر<strong>ASP</strong> را نشان مي دهد: (توجه كنيد كه اين تابع جلوي حملات سادهSQL InjectionXSSرا نيز مي گيرد)110