ASP技術(shù)的安全研究

2011 NO.11Science and Technology Innovation Herala| 科技創(chuàng )新導報IT技術(shù)ASP技術(shù)的安全研究孟盛(杭州師范大學(xué)錢(qián)江學(xué)院浙江省杭州市 310012)摘要:本文主要闞建Asp技術(shù)及 用Asp技術(shù)的WEB服務(wù)器的安全問(wèn)題進(jìn)行分折和總站,從而提高使用ASP技術(shù)的WEB開(kāi)發(fā)和應用的安全。關(guān)鍵詞:ASP Web 服務(wù)器數據庫4中圖分類(lèi)號:TP2文獻標識碼: A文章編號:1674-098X(2011)04(b)-0023-01ASP是Active Server Page的縮寫(xiě) ,意(2)合適的腳本。應用程序的腳本映射3 Web服務(wù)器的安全為“動(dòng)態(tài)服務(wù)器頁(yè)面" .ASP是微軟公司開(kāi)保證 了Web服務(wù)器不會(huì )意外地下載Asp文Asp技術(shù)中常用微軟自帶的IIS架設發(fā)的代替CGI腳本程序的一種應用,它可以件的源代碼,但不安全或有錯誤的腳本易WEB服:務(wù)器。WEB服務(wù)器的安全包括了系與數據庫和其它程序進(jìn)行交互,是一種簡(jiǎn)導致Asp源代碼滑漏。統的安會(huì )和IIS的安全。單、方便的編程工具。ASP的網(wǎng)貞文件的格2.2 程序設計中的安全3.1系統的安全式是.asp,現在常用于各種動(dòng)態(tài)網(wǎng)站中.(1)用戶(hù)名、口令機制。用戶(hù)名.口令是(1)日錄文件的保護:NTFS權限.NTFS最萜本的安全技術(shù)，在A(yíng)sp中常采用Form文件系統提供了比Fat32更為安全的文件1 ASP概述表單提交用戶(hù)輸人的帳號和密碼,與用戶(hù)管理方式，它通過(guò)文件訪(fǎng)問(wèn)控制衣(ACL)定1.1 ASP工作原理標識數據庫中相應的字段進(jìn)行匹配,在必義了用戶(hù)訪(fǎng)問(wèn)文件和月錄的權限級別，如當在Web站點(diǎn)中融人ASP功能后,將出要的場(chǎng)合叮以使用MD5算法來(lái)加密用戶(hù)輸果用戶(hù)具有打開(kāi)文件的權限， 計算機則允現以下情況:入的密碼，可以保iE在線(xiàn)路被竊聽(tīng)的情況許該用戶(hù)訪(fǎng)問(wèn)文件.通過(guò)設定目錄和文件(1)用戶(hù)向瀏覽器地址欄輸入網(wǎng)址,默下依然 保證數據的安全，保護用戶(hù)口令的的訪(fǎng)問(wèn)權限， 禁止無(wú)關(guān)用戶(hù)對目錄文件進(jìn)認頁(yè)面的擴展名是.asp.行復制.修改.劓除等操作,限制對系統的(2)湖覽器向服務(wù)器發(fā)出請求。(2)注冊驗證。為了網(wǎng)站資源的安全性入侵。(3)服務(wù)器引擎開(kāi)始運行ASP程序。和易于管理，可以對用戶(hù)進(jìn)行分級.給定權(2)防火墻技術(shù)?？梢愿鶕EB服務(wù)器(4)ASP文件按照從上到下的順序開(kāi)始限，使特定用戶(hù)訪(fǎng)問(wèn)特定的資源群.也可以的應用范圍,決定防火墻的位置.處理,執行腳本命令,執行HTML頁(yè)面內阻止未授權用戶(hù)使用網(wǎng)站的資源，這就需(3)審核與監視技術(shù)。安會(huì )審核負責監要對用戶(hù)進(jìn)行注冊驗證。視系統中各種與安全有關(guān)的事件.生成安.(5)頁(yè)面信息發(fā)送到瀏覽器。(3)網(wǎng)頁(yè)過(guò)期管理?？紤]到有可能用戶(hù)全日志， 并提供查看安全8志的方法。1.2 ASP網(wǎng)頁(yè)特點(diǎn)在使用網(wǎng)頁(yè)的過(guò)程中，有可能會(huì )長(cháng)時(shí)間離(4)關(guān)閉不用的服務(wù)和協(xié)議,堵上系統(1)利用ASP可以實(shí)現突破靜態(tài)網(wǎng)頁(yè)的開(kāi)計算機處理別的事情.這樣會(huì )給別有用的漏洞和后門(mén)?！氨M盤(pán)少開(kāi)沒(méi)用到的服務(wù)”.一些功能限制，實(shí)現動(dòng)態(tài)網(wǎng)頁(yè)技術(shù):心的人有可乘之機，所以應該給網(wǎng)貞一個(gè)如果開(kāi)啟了 某個(gè)服務(wù),就要提防該服務(wù)可(2)ASP文件是包含在HTML代碼所組過(guò)期時(shí)間。能引起的漏洞。成的文件中的，易于修改和測試，(4)頁(yè)面緩沖管理:頁(yè)面緩沖可以加快3.2 |IS的安全(3)服務(wù)器上的ASP解釋程序會(huì )在服務(wù)網(wǎng)站的瀏覽速度,但也會(huì )給非法用戶(hù)提供(1)不要將IIS安裝在系統分區上器端執行ASP程序,并將結果以HTML格式了越權瀏覽的機會(huì )。因此,重要的Web頁(yè)面默認情況下,IIS與操作系統安裝在同傳送到客戶(hù)端瀏覽器上,因此使用各種瀏(如身 份驗證貞面)必須禁止頁(yè)面緩存,瀏覽一個(gè)分區中, 這是一個(gè)潛在的安全隱患。因覽器都可以正常瀏覽ASP所產(chǎn)生的網(wǎng)貞:器每次向Web服務(wù)器請求新頁(yè)面。為一旦入侵者繞過(guò)了IIS的安全機制，就有(4)ASP提供了一些內置對象.使用這些(5)程序錯誤管理:錯誤的執行參數和可能入侵到 系統分區。如果管理員對系統對象可以使服務(wù)器端腳本功能更強。例如意外的執行過(guò)程.都可以導致貝面出現錯文件夾.文件的權限設置不是非常合理,入可以從web瀏覽器中獲取用戶(hù)通過(guò)HTML誤提示，而這些錯誤提示會(huì )提供給別人很侵者就有可能篡改.刪除系統的承要文件..表單提交的信息，并在腳本中對這些信息多 網(wǎng)站的信息,所以在編程過(guò)程中要注意或 者利用-些其他的方式獲得權限的進(jìn)一進(jìn)行處理.然后向web瀏覽器發(fā)送信息。對畢常數據的處理和意外事件的控制,才步提 升.將IIS安裝到其他分區,即使入侵者(5)ASP可以使用服務(wù)器端ActiveX組件能保證網(wǎng)站的安全.能繞過(guò)IIS的安全機制，也很難i訪(fǎng)問(wèn)到系統來(lái)執行各種各樣的任務(wù)，例如存取數據庫、2.3數據庫的安全發(fā)送Email或訪(fǎng)間文件系統等。(1)ACCESS數據庫:在一些小型程序(2)修改IIS的安裝默認路徑(6)由于服務(wù)器是將ASP程序執行的結中 ,常用到ACCESS數據庫, ACCESS數據IIS的默認安裝的路徑是\inetpub, Web果以HTML格式傳回客戶(hù)端瀏覽器,因此庫易 于管理而安全性低，應注意在命名時(shí)服務(wù)的 貝面路徑是\inetpub\wwwroot,這是使用者不會(huì )看到ASP所編寫(xiě)的原始程序代不要采用常規的*.mdb的后綴名，而應該任何一個(gè)熟悉IIS的人都知道的,入侵者也碼，可防止ASP程序代碼被竊取。用*.asp.*. inc文件的后綴名,這樣,即使數不例外 .使用默認的安裝路徑無(wú)疑是告訴了(7)方便連接ACCESS與SQL數據庫。據庫路徑即使被別人發(fā)現.也不能下載數人侵者 系統的重要資料,所以需要更改。(8)開(kāi)發(fā)需要有豐富的經(jīng)驗,否則會(huì )留據庫而導致信息的不安全。(3)刪除危險的IIS組件出漏洞，讓黑客利用進(jìn)行注人攻擊。(2)SQL SERER數據庫: 更改sa口令,取默認安裝后的有些I1S組件可能會(huì )造成消guest帳號。并且不能把sa帳號的密碼寫(xiě)安 全威脅,例如Intemet服務(wù)管理器(HTML).2 ASP程序設計安全技術(shù)在應用程序或者腳本中。加強數據庫訪(fǎng)問(wèn)SMTP Service和NNTP Service. 樣本頁(yè)面Asp程序設計的安全主要涉及三個(gè)方日志的監視， 定期備份數據庫。同時(shí),制訂和腳本,大家可以根據 自己的需要決定是面: Asp源代碼的安全. Asp程序設計的安全完整的數據庫 備份策略,在必要的時(shí)候能否刪除。和數據庫安全。夠實(shí)現對數據庫的恢復。2.1 ASP源代碼的安全(3)屏敵數據庫路徑信息中國煤化工(1)保證ASP源碼的安全的主要技術(shù)是據庫 路徑和名稱(chēng)隨ASP源代CSP技術(shù)的MIS安全機制Asp腳本加密技術(shù)。常用方法有兩種:一是.密,常使用ODBC數據源。使用MYHCNMH:，2003.ASP2DLL技術(shù)。二是利用微軟提供的Script源連接數據庫的命令是Conn.open [2] 華軍等.基于A(yíng)SP技術(shù)網(wǎng)站建設的安全Encoder加密軟件對Asp頁(yè)面進(jìn)行加密?！癉SN名"。性研究[J].計算機工程和應用, 2003.科技創(chuàng )新導報Science and Technology Innovatlon Herald23