现在ASP的网站太容易被挂马了,网页里经常被嵌上script和iframe指身恶意链接.我现在就有一个ASP的站每天所有页面都会被嵌上这种恶意代码,天天都得替换一次,郁闷的不行了.
因此有换成PHP的想法.不过不清楚PHP对这种挂马入侵的"免疫力"怎么样?当然,被挂马也跟自身程序漏洞有关系,不过上网找ASP被挂马的原因..好像大多也说不清楚,还有人说是人家攻击系统漏洞造成的.如果真要是从系统漏洞攻击那不是用什么语言都一样了..
对PHP不了解.希望大家帮发表下意见!

解决方案 »

  1.   

    仅从语言来说php确实比asp更安全,比如数据库注入可以相对简单的防范,但是正如你自己所说的,服务器同样也不能有漏洞,如果你的站被挂马是服务期的原因,基本上换什么脚本语言都不管用
      

  2.   

    php比asp安全性好点吧,还要看你的编码,错落八七,当然也会被挂。
      

  3.   

    不需要写操作的目录以及文件,
    设置成只有root才有写权限。
    ext3文件系统还可以设置 chattr +i  ...
    连root都会失去写权限,这样就没那么容易挂马了修改不了程序本身,挂马就要从提交的内容入手了,做些过滤即可
      

  4.   

    我通过瑞星的挂马监控分析显示的是shellcode溢出攻击具体描述木马网址:http://gae1hasdf.cn/x2/yt.htm 
    攻击说明: 该网站试图将木马病毒植入用户的电脑。
    病毒名:Suspicious.Trojan-Downloader.Unescape.ShellCode.c
      缓冲区溢出是由编程错误引起的。如果缓冲区被写满,而程序没有去检查缓冲区边界,也没有停止接收数据,这时缓冲区溢出就会发生,溢出代码利用者利用溢出构造特殊的溢出代码,使得程序返回到溢出者期望的位置执行溢出者定义的代码,来实现木马下载和运行的目的。  像ASP和PHP肯定不会对内存缓冲区做控制,我这种被攻击的方式要是用PHP是不是会避免?有些程序应该有它自己的异常处理方式吧.   
      

  5.   

    还有就是我用的是虑似空间(WINDOWS系统),do_fork所说的修改写权限我也没法设
      

  6.   


    windows下可以借助comodo之类的3D防火墙,禁止写那些要保护的文件和目录
      

  7.   


    服务器不存在跨站是什么意思?是指一个服务器上有多个网站吗?
    这个是肯定的.我买的这种虑拟空间一个服务器上怎么着也得放肆50-100个网站,对于服务器我自己是不可控的.只有自己站点的FTP权限
      

  8.   

    用LAMP,稍加配置,便可大大增加对方入侵时间1.  将ICMP,TCP等等中能暴露出OS型号或者类别的信息,全部伪装成Windows NT
    2.  将站点的HTTP/FTP server信息全部伪装成IIS的
    3.  配置Apache,把php全部用.asp扩展名
    4.  把权限尽可能调低,禁止修改源码
      

  9.   

    不能这样说,就算jsp的,安全性也不怎样。就算用iiscan检测网站漏洞,然后修复好的都不保证不会被黑。