A S P 是网站建设常用的一种设计技术,主要用于创建动态交互式网页。由于与微软旗下操作系统、数据库、开发语言都具有非常好的兼容性,因此该技术在动态网站建设中具有相当高的比例。ASP 在提高网站运行水平的同时,要务必做好网站的安全防护工作,确保网站有一个安全良好的运行环境。然而在实际运行中,ASP 存在很多安全隐患,需要采取有针对性的措施进行防护。本文对ASP 常见的一些安全漏洞进行了分析,并提出了有效解决措施。
一、ASP技术概述
A S P 是一种运行在W E
B 服务器端的开放式脚本环境,由微软公司开发,将HTML 和脚本开发紧密的融合,不仅降低了开发难度,而且使程序编程更趋于灵活。ASP 运行环境下所有程序包括含在HTML 中的脚本程序,都在服务器端执行。程序执行结束执行结果会通过服务器反馈给客户浏览器,不仅使客户端浏览器负担减轻,而且使交互速度有所提升。正是因为ASP 技术操作运行简单方便、易行,被广大程序开发者应用到开发动态网站中。但是在应用过程中,由于
种种原因会导致ASP 自身所带漏洞凸显,很容易受到黑客攻击。所以,针对实际运行中ASP 存在的安全隐患,要采取有针对性的措施进行防护。
二、ASP的常见安全漏洞及防护措施
ASP 常见的安全漏洞主要包括ASP 服务器存在的安全隐患和ASP 动态网站中数据库的安全隐患两大方面。前者比如A S P 页面安全性、I I S 权限设置等,后者比如数据库被盗、破译密码等。以下以几个具体安全漏洞为例进行分析。
(一) ASP源代码安全隐患
因为ASP 程序采用非编译性语言,当页面访问出现错误,源代码就会在报错页面显示,这样就使程序源代码的安全性大大降低。一旦遭遇黑客侵,就可以轻松获取ASP 源代码,造成源代码泄漏。另外对于租用服务器用户也容易因为人为原因造成源代码泄露。比如,编程人员通常使用ASP 技术来实现网站交互,选择某种服务方式,的相关内容会在网站地址拦内显示,黑客可以根据地址栏显示的信息轻松获取页面验证进人加密网站,也就是说,不用网
文|郭舒扬,高志越,王宁
基于ASP开发的动态网站常见安全隐患的防护措施
70
信息化研究
站登录账号和密码,就能进入网站浏览任何信息,容易导致有价值的信息泄密。为有效防止ASP源代码泄露,可以采取以下措施对ASP页面进行加密防护:编程逻辑借助组件技术,在D D L中写入编程程序,既保障了ASP技术的逻辑性,有确保了网站正常运行;或者通过命令行脚本加密工具ScriptEncoder对ASP页面脚本代码加密。需要说明的是,使用组件技术每段ASP代码运行时,都要经过DDL逻辑操作,进行组件化,操作起来任务繁琐复杂,利用脚本加密工具加密ASP页面,较易操作、效果显著。
(二)密码验证漏洞隐患
密码验证漏洞是A S P众多信息安全漏洞的一个,常见的攻击方式是S Q L注入式攻击,利用代码漏洞在服务器上运行SQL命令,进行攻击。由于ASP代码存在漏洞,动态生成SQL命令时,如果不验证输入的数据就容易受到黑客攻击,通过特殊查询语句来获取一些重要的数据表数据,造成数据信息泄漏。可以采取以下措施进行防护:一是对验证代码进行更改,确保用户名和密码两者全部输入正确才能通过验证。二是编写代码要限制输入字符,比如对特殊符号、标点、字符长度等进行限制,增加保密性。三是通过ASP技术在SQL中的应用设计科学合理的安全配置,便于对ASP技术提交的数据的安全性进行检查,并对端口位置进行安全防护。四是采用MDS、字段加密等方法对ASP中的运行数据进行全面存储,确保数据的完整性和准确性。五是通过权限控制,对攻击路径进行切断,保护S Q L的良好运行。
(三) 注册验证漏洞隐患
ASP通过表单来实现服务端和客户端交互,相应的程序代码内容显示在浏览器地址栏,如果不采取适当安全防范,只要用户保存页面的路径和文件名,或在代码后面加个判断语句,就能不通过验证进入注册用户活动某页面,所以要采取相关措施对此类漏洞进行防护。一是加工处理需要验证的ASP
文件开头,并对上一个页面文件名进行跟踪,通过
进入上一页面才能进入此页面,可以通过两种方法
来实现。一是借助cookies实现。只要用户登陆过页
面信息会自动保存客户端cookies中,对其他限权访
问的页面也可以直接访问。二是借助session实现。Session保存的变量在关闭浏览器之前,只要将用户
登录成功的信息在session中记录,用户就可以对其
它限权访问的页面直接访问浏览。
(四) ASP木马安全隐患
利用Asp木马入侵网站,可以轻松的篡改网页、
删除数据。黑客入侵通常是利用ASP程序上传功能
的缺陷进入后台程序,对ASP木马程序进行上传。
实际上ASP木马程序和其他ASP程序区别不大,所
以就很难发觉ASP木马,一旦木马程序被上传,黑
客就能轻松控制Asp程序,甚至能攻克服务器管理员
权限,对文件、数据库进行修改删除,对网站主业
进行篡改,严重是导致系统瘫痪。防范ASP木马主
要采取以下几种措施:一是上传、维护网页时,管
理员尽量利用FTP,最好不试用和安装AS的上传;
二是调用A S P上传程序时一定要进行身份认证,
杜绝不信任的客户使用上传程序;三是对上传的文
件一定要限制其扩展名。比如:上传图片文件时,
设置为只能上传扩展名为.jpg或.gif的文件;四是使
用的ASP程序一定要从正规网站下载最新版本,及
时更新补丁,并对数据库名称、默认路径和管理员
密码进行定期修改,确保程序安全;五是要加强维
护,定期检查文件夹是否有陌生文件或数据表,一
旦发现即刻删除。六是对数据库、网页等重要文件
要及时备份,以免出现意外时能还原调用。
(五)数据库的安全隐患
当前简单的ASP网站多采用Access数据库,程
序员通常会将数据库文件放在一个规范的目录下,
如果采取某种方法获取数据库存储路径和文件名,
71
信息化研究
asp网页源码就能下载A c c e s s数据库文件,无疑会造成信息泄密。比如对信息发布数据库来说,通常会以某种形式命名,存储路径通常设置固定形式,一旦输入命名形式的这个地址,就可以随意下载数据库。再一点,由于Access数据库加密简单,所以解密也较为容易。因为数据库系统加密串是通过用户密码与某一固定密钥“异或”形成的,但是由于经过两次异或就可以恢复原值,只要用密钥与*.mdb文件加密串进行二次异或操作,Access数据库密码就能轻松破解,从而编制解密程序并获取Access数据库密码,这样数据库信息就能轻松下载。可以采取以下措施进行防护:一是为Access数据库文件起一个非常规的名字,并保存在几个目录下更改扩展名,这种情况下要想破译Access数据库文件名就绝非易事。二是ASP程序设计中尽量使用ODBC数据源,并在ODBC中设置数据源,比如设置为conn.open“ODBC-DSN名”,切忌在程序中填写数据库名,一旦ASP源程序失密,数据库名也会跟着受到牵连,Access数据库的路径和名称就会显示,即便数据库名字起得多么非常规,在目录中隐藏的多深,也会随着ASP源代码失密而泄漏。
(六)后台管理权限安全隐患
大多管理后台设计权限判断时,只在第一个登录页面进行设计,其余页面不作权限判断的要求,只要后台检测出其他的子页面,黑客就可以对其操作。比如对于一个用户管理系统来说,只要用“inurl”搜索关键词“add”“del”等关键词,用户添加、删除的管理页面就能被检测出来,检测出的页面一旦没有进行权限判断设计,页面就可以直接打开,篡改或删除数据信息,造成损失。
(七)ASP服务器安全性
A S P服务器操作系统通常由微软开发,N T、WindowsServer2000、WindowsServer2003等在A S P服务器应用较为广泛。需要注意以下几个方面的安全防护。一是要操作系统补丁要及时下载更新,杀毒软件要经常升级。二是对Internet信息服务默认Web站点主目录进行更改,增加虚拟目录的设计,
或Inter-net信息服务中网站的日志目录路径要经常
更改。同时要注意系统分区上要避免主目录和虚拟
目录的建立,仅仅设计读取和记录访问的权限,应
用程序要设置为高级保护设置。三是在主域控制器
和系统分区上要避开I I S的建立,否则系统文件和IIS都容易被非法访问, 系统分区就会遭到非法用户
入侵。四是不安全的组件或不需要组件就能完成安
装的要切忌安装,确需组件来完成安装的要安装可
靠的知名的组件。
三、结语
随着web技术不断深入发展,网络技术正在发
生日新月异的变化,ASP作为网站建设常用的一种
设计技术,以其简单易行的操作方式和强大的功能
被广泛应用在网站开发建设中。但ASP实际运用中
存在的信息安全问题,成为一项重要的研究课题。
只有不断的加强分析和研究,对各方面存在的漏洞
进行安全性分析,并因策制宜的采取相应的防范措施,才能更好的防范因漏洞带来的安全风险,促进
网站建设的健康快速发展。
作者单位:海南电网有限责任公司
72
信息化研究
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论