0

私はハッキング技術と安全上の脆弱性についてはあまり詳しくありませんが、IIS 7.5 を実行している ASP Classic 上に構築されたサイトのセキュリティについて少し心配し始めています。

ASP インライン認証を使用します。ASP ファイル内には、ユーザー名とパスワードが設定されています。特定のユーザー名へのアクセスを特定の IP アドレス (従業員が使用するユーザー名) に制限し、他のユーザー名は電話で SMS によって受信された確認パスワードを使用します。

  1. IP ベースの認証は安全ですか? 特定のポートから特定の IP アドレスを入力すると、その特定の IP アドレスからアクセスできるという話を聞いたことがあります。
  2. ASP ファイルの内容がハッキングされて読み取られる可能性はありますか?
  3. SMS を生成するとき、ASP スクリプトは XMLHTTP を介してリンクを開きます。誰かが呼び出された URL を聞いて、SMS パスワードを簡単に取得できますか?
  4. ログイン方法の脆弱性を思いつきますか?

ありがとう!

4

1 に答える 1

0

URLがそのように公開されている場合、フィドラーなどのツールを介してパスワードや情報を読み取ることができる場合、3番目のポイントは問題のように見えます。

サイトをハッキングから保護するには、1) サイトが SQL インジェクション手法を使用していること、2) すべての重要なデータが post メソッドで送信されていることを確認してください。3) 誰かがページを読み込んだときに暗号化された値を 1 つ Cookie に保存し、コードでその Cookie 値を読み取って、ページが他の場所から呼び出されていないことを確認できるようにするなど、クロス サイト スクリプティング攻撃に対処する必要があります。

于 2013-02-28T11:54:24.877 に答える