浅谈ＡＳＰ技术的安全.doc

发布时间：2022-10-04 13:15:59 所属栏目：Asp教程来源：

导读：　　浅谈ＡＳＰ技术的安全摘要:本文对 Asp 技术及用 Asp 技术的 WEB 服务器的安全问题进行分析和总结，从而提高使用 ASP 技术的 WEB 开发和应用的安全性。关键词:ASP;Web 服务器;数据库 Asp 是微软推出的基于 WEB

　　浅谈ＡＳＰ技术的安全摘要:本文对 Asp 技术及用 Asp 技术的 WEB 服务器的安全问题进行分析和总结，从而提高使用 ASP 技术的 WEB 开发和应用的安全性。关键词:ASP;Web 服务器;数据库 Asp 是微软推出的基于 WEB 编程的服务器端脚本环境，它可以完成以往 CGI 程序的所有功能。ASP 可以轻松地实现对页面内容的动态控制，根据不同的浏览者，显示不同的页面内容。ASP 可包含 HTML标签，也可以直接存取数据库及使用无限扩充的 ActiveX 控件，因此在程序编制上要比HTML 方便而且更富有灵活性。目前，IIS+ASP+SQL（或 Access）方案已成为中小型企业构建自己网上信息系统的首选方案。虽然 Asp 具有快速开发能力，但 Asp 也存在很多不容忽视的安全漏洞。一、ASP 程序设计安全技术 Asp 程序设计的安全主要涉及三个方面：Asp 源代码的安全、Asp 程序设计的安全和数据库安全。源代码的安全：（1）保证 ASP 源码的安全的主要技术是 Asp 脚本加密技术。常用方法有两种：一是ASP2DLL 技术。其基本思想是利用提供的 Activexdll 对象将 Asp 代码进行封装，编译为 DLL 文件，在 Asp 程序中调用该 DLL 文件。

　　二是利用微软提供的 Script Encoder 加密软件对 Asp 页面进行加密。（2）置合适的脚本映射。应用程序的脚本映射保证了 Web 服务器不会意外地下载Asp 文件的源代码，但不安全或有错误的脚本映射易导致 Asp 源代码泄漏。因此，应将用不到的有一定危险性的脚本映射删掉（如*.htr 文件及*.htw,*.ida,*.idq 等索引文件）。 2.程序设计中的安全（1）用户名、口令机制。用户名、口令是最基本的安全技术asp安全性，在 Asp 中常采用 Form表单提交用户输入的帐号和密码，与用户标识数据库中相应的字段进行匹配，在必要的场合可以使用 MD5 算法来加密用户输入的密码,可以保证在线路被窃听的情况下依然保证数据的安全，保护用户口令的安全。（2）注册验证。为了网站资源的安全性和易于管理，可以对用户进行分级，给定权限，使特定用户访问特定的资源群，也可以阻止未授权用户使用网站的资源，这就需要对用户进行注册验证操作。在 ASP 中，我们可以利用 Session 对象和 Http 头信息来实现此类安全控制。当访问者通过身份验证页面后，就把 Session 对象的 Sessionid 属性作为一个 Session 变量存储起来，当访问者试图导航到一种有效链接的页面时，可将当前的Sessionid 与存储在 Session 对象中的 ID 进行比较，如果不匹配，则拒绝访问。

　　如在Session（“id”）中保存着第一次链接的 Sessionid，’拒绝访问。（3）网页过期管理。考虑到有可能用户在使用网页的过程中，有可能会长时间离开计算机处理别的事情，这样会给别有用心的人有可乘之机，所以应该给网页一个过期时间。这样不仅保证了用户的安全，也可以减少服务器的链接数，减少服务器压力。可以使用 =时间，过了这么长时间网页就失效了，前提是你用一个 session 值来判断登录状态如 =20。（4）页面缓冲管理：页面缓冲可以加快网站的浏览速度，但也会给非法用户提供了越权浏览的机会。因此，重要的 Web 页面（如身份验证页面）必须禁止页面缓存，强制浏览器每次向 Web 服务器请求新页面。利用 Asp 的 Response 对象的 Expires 属性和Clear 方法可解决此问题。具体设置：=,expires 表示缓存页面的有效期,0 表示立即过期，clear 表示清空缓冲区。（5）程序错误管理：错误的执行参数和意外的执行过程，都可以导致页面出现错误提示，而这些错误提示会提供给别人很多网站的信息，比如使用数据库的类型，表中所含字段的名称等等。会造成程序的不安全。

　　所以在编程过程中要注意对异常数据的处理和意外事件的控制，才能保证网站的安全性。 3．数据库的安全。（1）ACCESS 数据库：在一些小型程序中，常用到 ACCESS 数据库，ACCESS 数据库易于管理而安全性低，应注意在命名时不要采用常规的*.mdb 的后缀名，而应该用*.asp，*.inc 文件的后缀名，这样，即使数据库路径即使被别人发现，也不能下载数据库而导致信息的不安全。（2）SQL SERER 数据库：首先应更改 sa 口令，取消 guest 帐号。并且不能把 sa 帐号的密码写在应用程序或者脚本中。其次，应加强数据库访问日志的监视，定期备份数据库。同时，制订完整的数据库备份策略，在必要的时候能够实现对数据库的恢复。（3）屏蔽数据库路径信息。为防止数据库路径和名称随 ASP 源代码失密而失密，常使用 ODBC 数据源。使用 ODBC 数据源连接数据库的命令是 “DSN 名”。二、WEB 服务器的安全Asp 技术中常用微软自带的 IIS 架设 WEB 服务器。WEB 服务器的安全包括了系统的安全和 IIS 的安全。 1．系统的安全：（1）目录文件的保护：NTFS 权限。

　　NTFS 文件系统提供了比 Fat32 更为安全的文件管理方式，它通过文件访问控制表（ACL）定义了用户访问文件和目录的权限级别，如果用户具有打开文件的权限，计算机则允许该用户访问文件。通过设定目录和文件的访问权限，禁止无关用户对目录文件进行复制、修改、删除等操作，限制对系统的入侵。（2）防火墙技术。可以根据 WEB 服务器的应用范围，决定防火墙的位置。（3）审核与监视技术。安全审核负责监视系统中各种与安全有关的事件，生成安全日志，并提供查看安全日志的方法。通过分析安全日志，可以发现并阻止各种危及系统安全的行为。除了安全日志，系统日志和应用程序日志也是很好的监视工具，它们记录了用户自登录开始直到退出的整个操作过程，为网络安全分析提供可靠的依据。（4）关闭不用的服务和协议，堵上系统的漏洞和后门。“尽量少开没用到的服务”，如果开启了某个服务，就要提防该服务可能引起的漏洞。同时要定期下载操作系统、IIS、ASP 和 DBMS 最新漏洞的补丁，将可能发生的安全隐患减到最少。 2．IIS 的安全（1）不要将 IIS 安装在系统分区上默认情况下，IIS 与操作系统安装在同一个分区中，这是一个潜在的安全隐患。

　　因为一旦入侵者绕过了 IIS 的安全机制，就有可能入侵到系统分区。如果管理员对系统文件夹、文件的权限设置不是非常合理，入侵者就有可能篡改、删除系统的重要文件，或者利用一些其他的方式获得权限的进一步提升。将 IIS 安装到其他分区，即使入侵者能绕过 IIS的安全机制，也很难访问到系统分区（2）修改 IIS 的安装默认路径 IIS 的默认安装的路径是\inetpub，Web 服务的页面路径是\inetpub\wwwroot，这是任何一个熟悉 IIS 的人都知道的，入侵者也不例外，使用默认的安装路径无疑是告诉了入侵者系统的重要资料，所以需要更改。（3）删除危险的 IIS 组件默认安装后的有些 IIS 组件可能会造成安全威胁，例如 Internet 服务管理器(HTML)、SMTP Service 和 NNTP Service、样本页面和脚本，大家可以根据自己的需要决定是否删除。三、结束语 Asp 环境下的安全问题应从系统的全局进行分析和考虑，既要保证系统安全，又要取得良好的系统性能。本文从服务器端、、Asp 程序设计两个方面对 Asp 安全技术进行分析和总结，但随着新的攻击手段和方法不断涌现，要构建一个面面俱到的安全体系是很困难的，因为一种技术只能解决一或几个方面的问题。

（编辑：拼字网 - 核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!