ASP技术的安全研究

2011 NO.11Science and Technology Innovation Herala| 科技创新导报IT技术ASP技术的安全研究孟盛(杭州师范大学钱江学院浙江省杭州市 310012)摘要:本文主要阚建Asp技术及 用Asp技术的WEB服务器的安全问题进行分折和总站,从而提高使用ASP技术的WEB开发和应用的安全。关键词:ASP Web 服务器数据库4中图分类号:TP2文献标识码: A文章编号:1674-098X(2011)04(b)-0023-01ASP是Active Server Page的缩写 ,意(2)合适的脚本。应用程序的脚本映射3 Web服务器的安全为“动态服务器页面" .ASP是微软公司开保证 了Web服务器不会意外地下载Asp文Asp技术中常用微软自带的IIS架设发的代替CGI脚本程序的一种应用,它可以件的源代码,但不安全或有错误的脚本易WEB服:务器。WEB服务器的安全包括了系与数据库和其它程序进行交互,是一种简导致Asp源代码滑漏。统的安会和IIS的安全。单、方便的编程工具。ASP的网贞文件的格2.2 程序设计中的安全3.1系统的安全式是.asp,现在常用于各种动态网站中.(1)用户名、口令机制。用户名.口令是(1)日录文件的保护:NTFS权限.NTFS最萜本的安全技术，在Asp中常采用Form文件系统提供了比Fat32更为安全的文件1 ASP概述表单提交用户输人的帐号和密码,与用户管理方式，它通过文件访问控制衣(ACL)定1.1 ASP工作原理标识数据库中相应的字段进行匹配,在必义了用户访问文件和月录的权限级别，如当在Web站点中融人ASP功能后,将出要的场合叮以使用MD5算法来加密用户输果用户具有打开文件的权限， 计算机则允现以下情况:入的密码，可以保iE在线路被窃听的情况许该用户访问文件.通过设定目录和文件(1)用户向浏览器地址栏输入网址,默下依然 保证数据的安全，保护用户口令的的访问权限， 禁止无关用户对目录文件进认页面的扩展名是.asp.行复制.修改.劓除等操作,限制对系统的(2)湖览器向服务器发出请求。(2)注册验证。为了网站资源的安全性入侵。(3)服务器引擎开始运行ASP程序。和易于管理，可以对用户进行分级.给定权(2)防火墙技术。可以根据WEB服务器(4)ASP文件按照从上到下的顺序开始限，使特定用户访问特定的资源群.也可以的应用范围,决定防火墙的位置.处理,执行脚本命令,执行HTML页面内阻止未授权用户使用网站的资源，这就需(3)审核与监视技术。安会审核负责监要对用户进行注册验证。视系统中各种与安全有关的事件.生成安.(5)页面信息发送到浏览器。(3)网页过期管理。考虑到有可能用户全日志， 并提供查看安全8志的方法。1.2 ASP网页特点在使用网页的过程中，有可能会长时间离(4)关闭不用的服务和协议,堵上系统(1)利用ASP可以实现突破静态网页的开计算机处理别的事情.这样会给别有用的漏洞和后门。“尽盘少开没用到的服务”.一些功能限制，实现动态网页技术:心的人有可乘之机，所以应该给网贞一个如果开启了 某个服务,就要提防该服务可(2)ASP文件是包含在HTML代码所组过期时间。能引起的漏洞。成的文件中的，易于修改和测试，(4)页面缓冲管理:页面缓冲可以加快3.2 |IS的安全(3)服务器上的ASP解释程序会在服务网站的浏览速度,但也会给非法用户提供(1)不要将IIS安装在系统分区上器端执行ASP程序,并将结果以HTML格式了越权浏览的机会。因此,重要的Web页面默认情况下,IIS与操作系统安装在同传送到客户端浏览器上,因此使用各种浏(如身 份验证贞面)必须禁止页面缓存,浏览一个分区中, 这是一个潜在的安全隐患。因览器都可以正常浏览ASP所产生的网贞:器每次向Web服务器请求新页面。为一旦入侵者绕过了IIS的安全机制，就有(4)ASP提供了一些内置对象.使用这些(5)程序错误管理:错误的执行参数和可能入侵到 系统分区。如果管理员对系统对象可以使服务器端脚本功能更强。例如意外的执行过程.都可以导致贝面出现错文件夹.文件的权限设置不是非常合理,入可以从web浏览器中获取用户通过HTML误提示，而这些错误提示会提供给别人很侵者就有可能篡改.删除系统的承要文件..表单提交的信息，并在脚本中对这些信息多 网站的信息,所以在编程过程中要注意或 者利用-些其他的方式获得权限的进一进行处理.然后向web浏览器发送信息。对毕常数据的处理和意外事件的控制,才步提 升.将IIS安装到其他分区,即使入侵者(5)ASP可以使用服务器端ActiveX组件能保证网站的安全.能绕过IIS的安全机制，也很难i访问到系统来执行各种各样的任务，例如存取数据库、2.3数据库的安全发送Email或访间文件系统等。(1)ACCESS数据库:在一些小型程序(2)修改IIS的安装默认路径(6)由于服务器是将ASP程序执行的结中 ,常用到ACCESS数据库, ACCESS数据IIS的默认安装的路径是\inetpub, Web果以HTML格式传回客户端浏览器,因此库易 于管理而安全性低，应注意在命名时服务的 贝面路径是\inetpub\wwwroot,这是使用者不会看到ASP所编写的原始程序代不要采用常规的*.mdb的后缀名，而应该任何一个熟悉IIS的人都知道的,入侵者也码，可防止ASP程序代码被窃取。用*.asp.*. inc文件的后缀名,这样,即使数不例外 .使用默认的安装路径无疑是告诉了(7)方便连接ACCESS与SQL数据库。据库路径即使被别人发现.也不能下载数人侵者 系统的重要资料,所以需要更改。(8)开发需要有丰富的经验,否则会留据库而导致信息的不安全。(3)删除危险的IIS组件出漏洞，让黑客利用进行注人攻击。(2)SQL SERER数据库: 更改sa口令,取默认安装后的有些I1S组件可能会造成消guest帐号。并且不能把sa帐号的密码写安 全威胁,例如Intemet服务管理器(HTML).2 ASP程序设计安全技术在应用程序或者脚本中。加强数据库访问SMTP Service和NNTP Service. 样本页面Asp程序设计的安全主要涉及三个方日志的监视， 定期备份数据库。同时,制订和脚本,大家可以根据 自己的需要决定是面: Asp源代码的安全. Asp程序设计的安全完整的数据库 备份策略,在必要的时候能否删除。和数据库安全。够实现对数据库的恢复。2.1 ASP源代码的安全(3)屏敵数据库路径信息中国煤化工(1)保证ASP源码的安全的主要技术是据库 路径和名称随ASP源代CSP技术的MIS安全机制Asp脚本加密技术。常用方法有两种:一是.密,常使用ODBC數据源。使用MYHCNMH:，2003.ASP2DLL技术。二是利用微软提供的Script源连接数据库的命令是Conn.open [2] 华军等.基于ASP技术网站建设的安全Encoder加密软件对Asp页面进行加密。“DSN名"。性研究[J].计算机工程和应用, 2003.科技创新导报Science and Technology Innovatlon Herald23