So finden Sie stop + SQL-Injection-Angriffe
Abgelegt unter: . NET , ASP Classic , Hosting , IIS 6.0 , 101 Programmierung , SQL Server
Es gibt eine Menge Zeug da draußen über SQL-Injection-Angriffe, aber es gibt nicht viel, hilft Ihnen herauszufinden, wie man diese Angriffe von dem Auftreten zu stoppen.
First, let's talk über das, was eine SQL Injection Attack wirklich ist. Einige Leute denken, es ist ein Virus der Art, dass "innerhalb Ihrer Website." Nicht der Fall. Diese bot Angriffe von anderen infizierten Computern. Sie nehmen einfach eine Brute-Force-Konzept der Scan-URLs, die POST / GET-Eingänge und versuchen, ihre eigenen Daten zu senden nehmen.
Also, wie Sie diesen Titel nieder und sie aufhalten? Für Websites, die von Microsoft's IIS betrieben, hier sind unsere Vorschläge:
- Sehen Sie sich Ihre IIS-Protokolle
Suchen Sie nach dem Wort "erklären" oder "auszuführen." Wenn Sie von einem Angriff getroffen haben, werden diese mehr als wahrscheinlich erscheinen in Ihrer IIS-Protokolle - zumindest für jeden Angriff, dass versucht wurde mit "GET"-Postings. Wenn Sie alle Instanzen von "DECLARE" oder "finde EXECUTE" Dies sind die Seiten mit zu beginnen. - Verwenden zentralisierten Datenbank-Verbindung Handling
Einfach, um eine zentralisierte Datei (zB connection.asp, wenn Sie ASP sind ), Die kümmert sich um alle Ihre DB zugreifen. Auf diese Weise ist es einfacher, stellen Sie sicher, dass Sie SQL-Codierung Ihrer Seiten. Sie können auf einfache Suchanfragen für "deklarieren" und "Ausführen" und die Angriffe zu stoppen tot in ihren Tracks. - Implementieren einer Website weite Lösung
Wenn Sie Server sind das Betreiben eines eigenen, empfehlen wir ISAPI_Rewrite aus HeliconTech ( http://www.helicontech.com/isapi_rewrite ). Dies ist ein ISAPI-Filter, der Ihnen eine Vielzahl von Dingen, einschließlich URL-Scan-Daten tun können. Diese wird 99% der Angriffe zu stoppen, ohne irgendwelchen Code zu ändern auf Ihrer Website! \ - Verwenden Sie niemals "sa" als Datenbank-Benutzer, erstellen Sie einen Benutzer für die Datenbank Sie arbeiten, und entfernen Sie dann Privilegien an den Master dbo lesen. Dadurch wird verhindert, dass der Angreifer "Sniffing" Ihre Datenbank-Struktur, jedoch haben diese Angriffe entwickelt, so dass bereinigt gespeicherte Prozedur basierte Angriffe sogar passieren, mit dieser Art von Sicherheit im Ort. Siehe http://www.ngssoftware.com/papers/more_advanced_sql_injection.pdf für weitere Informationen über diese und andere Ideen zu verhindern SQL Injection-Angriffe.
Wenn Sie jemals Ihren Kopf kratzen wurde gefragt, wo das Leck in Ihre Programmierung ist (oder übernommen haben, ein Projekt von jemand anderem), dann der beste Weg, um durch die Seite der Angriff passiert ist, indem Sie die IIS-Protokolle bestimmen.
Es gibt viele Skripte zur Verfügung zu bereinigen, aber der beste Tipp ist es, Backup stündlich, und die besten Praktiken (von denen ich einige hier hervorgehoben folgen). Viel Glück
Einfachste und am meisten umfassenden Mail Marketing Tool
Abgelegt unter: Allgemein PC Stuff , Hosting , Programmierung 101
iContact wichtigste Ziel ist es, zu übernehmen Paket ausgefeilte Funktionen in einem einfachen, leicht zu bedienen und erschwinglich. Obwohl viele Programme versuchen, dieses Gleichgewicht zu erreichen, iContact tut unglaublich gut.
Great User Interface 
iContact der Lage ist, Funktionen dazu wegen ihrer großen Oberfläche, die grundlegenden ermöglicht neue E-Mail-Marketer auf dem Boden läuft mit, sondern macht es auch einfacher für den erfahrenen benötigen Zugriff auf die Eigenschaften sie. So oder so, hat eine wunderbare iContact Produkt, weshalb mehr als 50.000 Kunden verwenden derzeit erstellt wird iContact.
Basic Features die Sie lieben
iContact macht es einfach für neue E-Mail-Vermarkter in das Spiel schnell zu bekommen:
- Preiswert: knapp unter $ 10 pro Monat zu beginnen!
- Über 300 professionell gestaltete E-Mail-Vorlagen machen Ihre Emails professionell aussehen
- Planen Sie Ihre Nachrichten in Zukunft verteilt werden, um Zeit zu sparen
- Ihr System sorgt automatisch dafür, Ihre E-Mails nicht als SPAM markiert werden, so dass Ihre Benutzer werden immer Ihre E-Mails.
- Track, was Ihre Abonnenten mit Ihren E-Mails, so dass Sie wissen, wie gut Ihr Newsletter empfangen werden.
- Event RSVP-Tracking
- Verteilen Umfragen leicht
.
. Erweiterte Funktionen die Sie lieben
Professionelle E-Mail-Marketer auch alles, was sie brauchen, um ihre Massen-E-Listen zu verwalten:
- Schnell Segment Ihre E-Mail-Liste anpassen, die Teilnehmer bestimmte Typen E-Mails erhalten
- Set-up-Autoresponder zur Automatisierung Ihrer E-Mail-Kampagnen
- iContact unterhält eine detaillierte Geschichte des Teilnehmers Maßnahmen helfen Ihnen passen Sie Ihre Kampagnen
- Design und laden Sie Ihre eigene E-Mail-Vorlagen
- Unbegrenzte Anzahl von E-Mail-Listen
Downside: iContact's Support Hours
Der einzige Nachteil ist die iContact Stunden, die sie zur Verfügung zu nennen. Support ist nicht 24 × 7, aber von 8.00 Uhr bis 08.00 Uhr EST. Allerdings ist ihre Unterstützung Personal sehr hilfsbereit, und viele Male Sie feststellen, dass es tatsächlich einfacher, ihre Online-Wissensdatenbank, die Video-Demonstrationen und Schritt-für-Schritt-Anweisungen, die Sie mit allem, was Sie benötigen ist verwenden.
iContact Pricing
Mit iContact die Preisfestsetzung, die Sie nur für den Betrag von E-Mails Sie abschicken wollen, was bedeutet, dass Sie beginnen mit einer kostengünstigen Planung und mehr bezahlen, nur wenn Sie wissen, dass Ihr Newsletter erfolgreich ist, bedeutet, sich zu zahlen. Plus ist iContact einer der günstigsten Anbieter per E-Mail-Marketing zur Verfügung.
| Kontakte | Monatlich |
|---|---|
| 250 | $ 9,95 |
| 500 | $ 14,00 |
| 1000 | $ 19,00 |
| 2500 | $ 29,00 |
| 5000 | $ 47,00 |
| 10.000 | $ 74,00 |
| 15.000 | 109,00 $ |
| 25.000 | 149,00 $ |
| 35.000 | 239,00 $ |
| 50.000 | 379,00 $ |
| 75.000 | 529,00 $ |
| 100.000 | 699,00 $ |
Ist es richtig, Du?
Wegen seiner Funktionen und Benutzerfreundlichkeit ist iContact besten sowohl für neue E-Mail-Marketer noch am Anfang als auch erweiterte E-Mail-Vermarkter, die über jahrelange Erfahrung verfügen. Allerdings, wenn Sie ein Fortune 500 Unternehmen sind oder eine sehr große E-Mail-Liste (über 100.000 Abonnenten), iContact ist wahrscheinlich nicht das Richtige für Sie.
Grundsätzlich hat iContact alles was Sie brauchen, um erfolgreiches Email-Marketing-Kampagnen laufen wird.
Speed up Website Ladezeit durch Verweigerung Tracking
Vor kurzem ist es mir dämmerte, dass nicht jeder kennt Tracking-Cookies oder Analytics (Google und so weiter) und was es wirklich bedeutet, wenn eine Seite besucht ... Es ist immer als eine Form von Spyware oder Hacker-Trojan Menschen zu helfen, Informationen sammeln und verwerten gesehen es zu ihrem Vorteil. Das ist absolut wahr, aber nicht in einem "Hacking" Sinn ...
Werbung Firmen verlangen Statistiken und demografische Informationen von einer Website fond, bevor sie in der Werbung zu investieren, und die meisten Websites (meist, wenn nicht alle) haben Google Analytics installiert, damit sie ihren Nutzern Länge für sehr leistungsstarke Berichte zu Trends beim Besuch der Website . Kombiniert mit den Webmaster-Tools (auch ein Google-Produkt) und einen Vergleich von Daten aus den physikalischen Server anmeldet, wird dies mehr als genug, um Trends, Besucher und nützliche Informationen geben, wenn es um mögliche Werbekunden zu entscheiden, ob Ihre Website ist in der Tat lohnt zu investieren in. Länge
Geben Sie die Nielsen Berichtswesen. Sie behaupten, zu den Führern in der Sammlung von Daten und nützliche Informationen über den öffentlichen Besuch einer bestimmten Website. Tatsächlich ist, was sie behaupten, ist sehr schön, aber wie gehen sie über die Erreichung dieses grenzt an den "Spyware"-Seite.
Aus meiner kurzen Überblick über den Tracking-Code auf mehreren südafrikanischen Websites installiert, fand ich, dass mehrere Versuche zur Schaffung "Objekte" mit clientseitigen JavaScript-Code es ihnen möglich gemacht, um festzustellen, welche Programme Sie auf Ihrem PC installiert sein. In der Tat, sehr interessant.
Was wäre ein Unternehmen wollen mit dieser Art von Informationen überhaupt? Warum nicht einfach verlassen Sie diese an Google Analytics, einen bekannten Website-Tracking-und Analyse-Software frei zur Verfügung gestellt, um alle und jeden?
Vielleicht etwas zu verbergen, aber ich kann nur im Hinblick auf ihre Gründe zu spekulieren. Vielleicht advertisors bestehen auf dieses besondere Stück Tracking-Code auf der Webseite installiert. Niemand würde bemerken Recht?
Nun haben einige fortgeschrittene Benutzer, und die meisten von ihnen haben etwas dagegen getan bereits, die Beschleunigung ihrer südafrikanischen Websites durch merkliche Mengen, sie genießen einen Einblick, was wahre Breitband-Geschwindigkeiten sind wie in anderen Ländern, und mit diesem kleinen Tutorial, so können Sie!
So geht's!
Lesen Sie mehr
Wickeltisch Eigentümer in SQL Server
Abgelegt unter: Hosting , Programmierung 101 , SQL Server
Kürzlich hatte ich den unglücklichen Fall eine Live-Server, der Installation und Verwendung von nur 1 User, die nicht dbo. Entweder der Programmierer war es nicht besser wissen oder ... naja ... er der Dorftrottel ... Jedenfalls wurde, so ... auf mit dem Code. Hier ist ein einfaches T-SQL-Anweisung zu erhalten und die Schleife durch alle Stored Procedures, Tabellen und Views zu aktualisieren und auf dbo use (oder irgendeine andere Benutzer, den Sie möchten):
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 | sysobjects WHERE xtype IN ( 'U' , 'V' , 'P' ) AND uid = user_id ( 'olddbuser' ) OPEN tblcur WHILE 1 = 1 BEGIN FETCH tblcur INTO @tbl IF @@fetch_status < 0 BREAK SET @tbl = 'olddbuser.' + @tbl EXEC sp_changeobjectowner @tbl , 'dbo' END DEALLOCATE tblcur DECLARE @ tbl sysname DECLARE tblcur INSENSITIVE CURSOR FOR SELECT name FROM WHERE IN sysobjects xtype ('U', 'V', 'P') und uid = user_id ('olddbuser') OPEN tblcur WHILE 1 = 1 BEGIN FETCH INTO tblcur @ tbl IF @ @ fetch_status <0 BREAK SET @ tbl = 'olddbuser.' + @ tbl sp_changeobjectowner EXEC @ tbl, 'dbo' END DEALLOCATE tblcur |
Also, was ist dieses CLSID (ABF05265-635E-44B0-A28F-AEA45247ACA0)?
Ich war auf einem Server arbeiten, wenn ich einen Fehler im Windows Event Log bemerkt in diesem Format
Typ: Ereignisfehler
Ereignisquelle: DCOM
Kategorie: Keine
Ereignis-ID: 10016
User:
Computer: SERVER1Beschreibung:
Die anwendungs-spezifischen Einstellungen nicht die Erlaubnis erteilen Local Startberechtigung für die COM-Serveranwendung mit CLSID (ABF05265-635E-44B0-A28F-AEA45247ACA0), um den Benutzer SID (S-1-5-21-573225893-205518295-3307690801-69150 ). Diese Sicherheitsberechtigung kann mit Hilfe der modifizierten Verwaltungsprogramm für Komponentendienste werden.
Digging up auf die Registrierung gab mir diese Informationen. Die CLSID (Wert ABF05265-635E-44B0-A28F-AEA45247ACA0) geschieht für Microsoft.SqlServer.Dts.Server.DtsServer werden.
Ich überprüfte die Konsole Component Services und öffnete die Eigenschaften für die DCOM-Anwendung MSDTSServer. Ich habe das Benutzerkonto in der Fehlermeldung in dem Launch and Activate Permissions erwähnt hat, und dass tat die Tücke
Wie man eine Windows 2003 Web Server
Abgelegt unter: . NET , ASP Classic , Hosting , IIS 6.0 , SQL Server
Jedesmal, wenn wir ein Setup-Box W2K3 als Web-Server führen wir folgende
Stufe 1
1,1 Copy i386 nach c: \
1,2 Konfigurieren von Windows-Berechtigungen auf allen Partitionen
- Verlassen
Administratoren (Full)
System (Full)
Entfernen Sie Schmuck
1,3 Umbenennen Administrator
1,4 Umbenennen Machine
1,5 Reboot
1,6 Install Windows Updates (nicht die. NET Frameworks)
1,7 Add IP's zu TCP / IP
1,8 Add DNS-Suffix, um TCP / IP (nur falls erforderlich)
1,9 Disable Shutdown Event Tracker
1,10 Reboot
Stage 2
2.1 Installieren Support Tools
2.2 Installieren Resource Kit Tools
2.3 Installation KB908521 (nicht erforderlich, wenn W2K3 SP2)
2,4 Install SNMP
SNMP Informant 2.5 installieren
2,6 Konfigurieren der Windows-Time
2,7 Reboot
Stage 3
3.1 Installieren R2 (Nur wenn Sie es wollen)
3,2 Reboot
Stage 4
4.1 Setup "Automatische Updates"
4.2 Setup MS DNS
4.3 Einstellen der TCP / IP Local DNS
4,4 MSTDC Fix
Stufe 5
IIS 5.1 Installieren
5,2 erlauben den direkten Bearbeiten der Metabasis
IIS 5.3 IP's zu hören auf
5,4 IIS neu starten
5.5 genannten Default Documents
5,6 Set W3SVC Logs Params
5,7 Install FastCGI
5,8 Installation von PHP 5.1 & 5.2 (FastCGI-Modus)
5,9 Zend Optimizer installieren (32bit Edition)
Perl 5.10
Installieren Sie Python 5,11
5,12 Configure IIS SMTP
5,13 Disable IIS SMTP-Socket Pooling
- Http://www.isaserver.org/tutorials/i ... etpooling.html
5,14 Reboot
Schritt 6
6,1 Install. NET Framework 2.0
6,2 Install. NET Framework 2.0 SP1
6,3 Install. NET AJAX 1.0
6,4 Install. NET Framework 3.5 (Stellen Sie sicher, dass Sie den Installer ohne SP1)
6.5 installiert haben. NET Framework 3.5 SP1 (nur bei Verwendung Helm 4.1)
6,6 Reboot
Step 7
7.1 installieren Isapi_Rewrite
7,2 Install JMail.NET
7,3 Install W3JMail
7,4 Install Hotlink Blocker
7,5 Install IIS Password
7,6 Install Winrar
Installieren Sie vertritt weiterhin 7,7 ASP Email
Installieren Sie vertritt weiterhin 7,8 ASP JPeg
Installieren Sie vertritt weiterhin 7,9 ASP Upload
7,10 Reboot
Natürlich, wenn die Box wird nicht an einen DNS-Server nicht installiert wäre MSDNS werden, gelten Anweisungen sowohl 32bit und 64bit W2K3. Ich werde nicht um jeden Schritt im Detail erklären, die Info ist nur so können Sie sehen, was um uns Dinge zu tun. Es wurde sehr gut getestet und wir hatten keinerlei Probleme
Bei jedem Schritt testen wir alles, was wir installieren, so stellen wir sicher, PHP korrekt funktioniert, bevor auf den nächsten Schritt. Wenn Sie MySQL oder MSSQL, ich würde es bei Schritt 8 nicht installieren. Sobald alles eingerichtet ist, als würden Sie Helm installieren oder einen Remote-Steuerung.
