ASP内联密码?

时间:2013-02-28 05:53:38

标签: asp-classic passwords

我对黑客技术和安全漏洞不是很熟悉,但我开始担心我们网站的安全性,这是基于ASP Classic构建的,运行IIS 7.5

我们使用ASP内联身份验证。在ASP文件中我设置了用户名和密码。我已将某个用户名的访问权限限制为特定的IP地址(员工使用的用户名),其他用户名使用手机短信收到的确认密码。

  1. 基于IP的身份验证是否安全?我听说过通过某些端口输入某个IP地址,从而获得了该特定IP地址的访问权。
  2. ASP文件的内容是否可以被黑客入侵和阅读?
  3. 生成SMS时,ASP脚本会通过XMLHTTP“https://generate.sms-company-domain.com/?password=& acount =& message =您的确认密码为'打开链接。有人可以听到被调用的URL并轻松获取短信密码吗?
  4. 您能想到我们登录方法的任何漏洞吗?

    5. 谢谢!

1 个答案:

答案 0 :(得分:0)

如果URL以这种方式公开,你的第3点就会出现问题,任何人都可以通过fiddler等工具读取密码或信息。

为了保护您的网站免受黑客攻击,请确保 1)您的站点使用了SQL注入技术 2)所有重要数据均通过邮寄方式提交。 3)需要处理跨站点脚本攻击,例如当某人加载页面时,它会在cookie中保存一个加密值,并在代码中读取该cookie值,这样我们就可以确认该页面没有从其他地方调用。

相关问题
最新问题