挂马就是在网站里挂木马，首先是利用漏洞侵入网站后台，然后上传木马，就行了。详细去黑客网站看！所谓的挂马，就是通过扫描网站是否有注入点；然后通过注入点，获取系统管理员的账号和密码；然后通过扫描，获得网站后台登陆页面地址；然后登陆网站后台，通过数据库 备份/恢复 或者上传漏洞获得一个webshell；利用获得的webshell修改网站页面的内容，向页面中加入恶意转向代码；当你访问被加入恶意代码的页面时，你就会自动的访问被转向的地址。

　　最近常有朋友说自己的网站被挂马了，煞是苦恼，网站流量遭受损失不算，挂马还会给网站的用户以致命的打击，使其对你的网站彻底失去兴趣。站长做站不容易，难道一个辛辛做出来的网站，就这样完结了吗?面对挂马的挑战，我们如何来应付?

　　ASP开发的简易性使得越来越多的网站后台程序都使用这个脚本语言。但是， 由于ASP本身存在一定安全漏洞，稍不小心就会给黑客提供可乘之机。目前，大多数网站上的ASP程序都有这样那样的安全漏洞，但如果编写程序的时候注意一点的话，还是可以避免的。

　　一，免费程序被留有后门

　　这种方式是那些所谓免费提供程序下载的马客惯用的手段。他可以在一个很不起眼的目录或文件里留下一小段后门，或则干脆放一个ASP木马进去。所以不要轻易使用来路不明的程序，下载程序尽量去正规的大网站。如果非要使用，请仔细检查每个目录，每个文件的代码，确保万无一失。前台尽量不要留可执行程序，能生成HTM的，全生成。后台一定要目录改名，这点是很重要的这个在下面会提到。

　　二，后台密码被破解

　　有些用户在调试程序的时候把用户名和密码设置得很简单，有的甚至直接用默认的，那样是极其危险的，别人可以通过简单的猜测或简单的破解，轻易拿到权限，后果可想而知。涉及用户名与口令的程序应封装在服务器端，尽量不要在ASP文件里出现。目前比较安全的方法是，后台通过服务器端SESSION验证，密码通过MD5严格加密。

　　三，验证被绕过

　　如今的ASP程序清一色是在页面头部加一个判断语句，但这还不够，有可能被马客绕过验证直接进入。解决方法是在需要经过验证的ASP页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。当然，如果你后台目录改名的话，这种入侵的可能性就小很多。

　　四，SQL注入

　　ASP程序必须对某些特殊字符进行过滤，比如'，程序必须判断客户端提交的数据是否符合程序要求，SQL注入漏洞可谓是“千里之堤，溃于蚁穴”。现在网上SQL通用防注入程序很多，下载一个慢慢研究把吧

　　五，数据库被下载

　　在用Access做后台数据库时，如果有人通过各种方法知道或者猜到了服务器的Access数据库的路径和数据库名称，那么他也能够下载这个Access数据库文件，这是非常危险的。解决方法，把数据库命名成ASP后缀，连接数据库的时候也不要直接把数据库名写在程序中。

　　还有其他一些原因，比如是主机商自己搞的鬼，ARP攻击等等，当然，这些不是本文所讨论的话题了。

　　本文是WWW.SETASP.COM愿创文章,转载请保留此段。