网站维护：网站维护之ASP.NET网站安全篇

　　网站维护工作者常常遇到的ASP.NET网站被攻击方式有以下几种：网页木马攻击，SQL注入攻击和跨站攻击。

　　现在对以上三种攻击方式进行独立分析，以期帮助用户如何维护网站。

　　网页木马攻击：

　　木马攻击主要在于ASP.NET网站的上传漏洞所致，具体表现在对上传的DLL、COM、EXE等文件类型的文件过滤不严格，造成黑客可以直接、有效针对目标页面（大多为首页）上传一些执行文件、后门文件，达到成功入侵网站的目的。
　　预防措施：
　　这种攻击比较好防御，从源头上可以彻底解决。如果是代码问题则修改ASP.NET代码，如果是设置问题则修改网站设置，禁止某些类型的文件。另外，造成这种问题的一大重要原因是网站建设的时候用了其它的用户控件，这个时候就要求你及时更新补丁了。

　　SQL注入式攻击：
　　SQL注入式攻击可以说是最普遍的攻击方式了，黑客对SQL语句重新构造以向网站服务器提交一些非法请求，一旦这种请求被服务器接受就意谓着网站核心数据控制权的转移。造成这种问题的主要原因还是在于网站制作者在编写程序的时候并没有对网站访问者提交的SQL字符串进行严格的过滤。
　　预防措施：
　　这类漏洞一般很难被发现，这需要网站维护者及时了解数据库行业资讯，发现漏洞，马上修改网站代码。同时在用户提交的字符串中过滤掉delete、insert、update和select。当然，这种攻击方式最好的解决方法就是页面静态化处理。

　　跨站攻击
　　跨站攻击的主要方式是由于网站留言板或评论等带有文字上传功能的版块以及论坛里发帖回帖的文本输入框过滤脚本语言不严所致，致使访问者提交的脚本代码能被网站服务器执行并显示，这种攻击的危害性在于能使每一个访问该页面的访问者中招。
　　预防措施：
　　现在的编程软件大都具备了自动过滤文本框中脚本语言的功能，在Visual Studio 2008中，只需要将 ValidateRequest 设置为 true 就可以。它的作用就是把 script 之类的过滤掉。跨站攻击就是利用这些字符，只要过滤对方的代码就可以了。