网站建设的知识 ASP网站黑客防范编程技巧

8、ASP木马

　　已经讲到这里了，再提醒各位论坛站长一句，小心你们的文件上传：为什么论坛程序被攻破后主机也随之被攻击者占据。原因就在……对！ASP木马！一个绝对可恶的东西。病毒么？非也.把个文件随便放到你论坛的程序中，您老找去吧。不吐血才怪哦。如何才能防止ASP木马被上传到服务器呢？方法很简单，如果你的论坛支持文件上传，请设定好你要上传的文件格式，我不赞成使用可更改的文件格式，直接从程序上锁定，只有图象文件格式，和压缩文件就完全可以，多给自己留点方便也就多给攻击者留点方便。怎么判断格式，我这里收集了一个，也改出了一个，大家可以看一下：

copyright dedecms

本文来自织梦

　　程序体（10） copyright dedecms

dedecms.com

　　'判断文件类型是否合格 织梦内容管理系统

　　Private Function CheckFileExt (fileEXT) dedecms.com

　　dim Forumupload 织梦好，好织梦

　　Forumupload="gif,jpg,bmp,jpeg"

　　Forumupload=split(Forumupload,",") 织梦好，好织梦

　　for i=0 to ubound(Forumupload) 本文来自织梦

　　if lcase(fileEXT)=lcase(trim(Forumupload(i))) then

　　CheckFileExt=true

　　exit Function

　　else

dedecms.com

　　CheckFileExt=false dedecms.com

　　end if 内容来自dedecms

　　next

织梦内容管理系统

　　End Function

本文来自织梦

　　‘验证文件内容的合法性 本文来自织梦

织梦好，好织梦

set MyFile = server.CreateObject ("Scripting.FileSystemObject") copyright dedecms

　　set MyText = MyFile.OpenTextFile (sFile, 1) ' 读取文本文件 织梦好，好织梦

　　sTextAll = lcase(MyText.ReadAll): MyText.close copyright dedecms

　　'判断用户文件中的危险操作 本文来自织梦

　　sStr ="8　.getfolder　.createfolder　.deletefolder　.createdirectory　

　　.deletedirectory" dedecms.com

　　sStr = sStr & "　.saveas　wscript.shell　script.encode" 织梦好，好织梦

　　sNoString = split(sStr,"　") 本文来自织梦

　　for i = 1 to sNoString(0)

织梦好，好织梦

　　if instr(sTextAll, sNoString(i)) ＜＞ 0 then 内容来自dedecms

　　sFile = Upl.Path & sFileSave: fs.DeleteFile sFile

织梦内容管理系统

　　Response.write "＜center＞＜br＞＜big＞"& sFileSave &"文件中含有与操作目录等有关的命令"&_ copyright dedecms

　　"＜br＞＜font color=red＞"& mid(sNoString(i),2) &"＜/font＞，为了安全原因，＜b＞不能上传。＜b＞"&_"＜/big＞＜/center＞＜/html＞"

看完这篇，您有何感觉呢？