Fatal编程技术网

Asp classic ASP内联密码?

asp-classic passwords

Asp classic ASP内联密码?,asp-classic,passwords,Asp Classic,Passwords,我不太熟悉黑客技术和安全漏洞,但我开始有点担心我们网站的安全性,它是建立在ASP Classic上的,运行IIS 7.5 我们使用ASP内联身份验证。在ASP文件中,我设置了用户名和密码。我已将特定用户名的访问权限限制为特定IP地址(员工使用的用户名),其他用户名使用手机短信接收的确认密码 基于IP的身份验证安全吗?我听说过通过某些端口输入某个IP地址,从而从该IP地址获得访问权限 ASP文件的内容会被黑客攻击并读取吗 生成SMS时,ASP脚本通过XMLHTTP打开一个链接“&acount=&m

我不太熟悉黑客技术和安全漏洞,但我开始有点担心我们网站的安全性,它是建立在ASP Classic上的,运行IIS 7.5

我们使用ASP内联身份验证。在ASP文件中,我设置了用户名和密码。我已将特定用户名的访问权限限制为特定IP地址(员工使用的用户名),其他用户名使用手机短信接收的确认密码

  • 基于IP的身份验证安全吗?我听说过通过某些端口输入某个IP地址,从而从该IP地址获得访问权限
  • ASP文件的内容会被黑客攻击并读取吗
  • 生成SMS时,ASP脚本通过XMLHTTP打开一个链接“&acount=&message=您的确认密码为”。有没有人可以收听被调用的URL并轻松获取SMS密码
  • 你能想到我们的登录方法有什么漏洞吗
    • 谢谢

    如果URL以这种方式公开,任何人都可以通过诸如fiddler之类的工具读取密码或信息,那么第三点看起来就是问题

    为了保护您的网站免受黑客攻击,请确保 1) 您的站点使用了SQL注入技术 2) 所有重要数据通过post方式提交。 3) 需要注意跨站点脚本攻击,例如当有人加载页面时,它会在cookie中保存一个加密值,并在代码中读取该cookie值,以便我们可以确认页面不是从其他地方调用的