欢迎来到上海园丁鸟网络科技有限公司|企业网站建设企业建站企业官网建设企业官网
咨询热线:18017747315当前位置: 首页 > 新闻动态 >
联系我们
企业网站建设 建站咨询
电话咨询:18017747315
E-mail:2355555999@qq.com
QQ:2355555999

基于ASP开发的动态网站常见安全隐患的防护措施

作者/整理:http://www.voez.net/ 来源:http://www.voez.net/ 日期:2018-07-06

ASP是网站建设常用的一种设计技术,主要用 于创建动态交互式网页。由于与微软旗下操作系统、 数据库.开发语言都具有非常好的兼容性,因此该技 术在动态网站建设中具有相当高的比例。ASP在提高 网站运行水平的同时,要务必做好网站的安全防护工 作,确保网站有一个安全良好的运行环境。然而在实 际运行中,ASP存在很多安全隐患,需要釆取有针对 性的措施进行防护。本文对ASP常见的一些安全漏洞 进行了分析,并提出了有效解决措施。
一、ASP技术概述
ASP是一种运行在WEB服务器端的开放式脚本 环境,由微软公司开发,将HTML和脚本开发紧密的 融合,不仅降低了开发难度,而且使程序编程更趋于 灵活。ASP运行环境下所有程序包括含在HTML中的 脚本程序,都在服务器端执行。程序执行结束执行结 果会通过服务器反馈给客户浏览器,不仅使客户端浏 览器负担减轻,而且使交互速度有所提升。正是因为 ASP技术操作运行简单方便.易行,被广大程序开发 者应用到开发动态网站中。但是在应用过程中,由于 种种原因会导致ASP自身所带漏洞凸显,很容易受 到黑客攻击。所以,针对实际运行中ASP存在的安 全隐患,要釆取有针对性的措施进行防护。
二、ASP的常见安全漏洞及防护措施
ASP常见的安全漏洞主要包括ASP服务器存在 的安全隐患和ASP动态网站中数据库的安全隐患两 大方面。前者比如ASP页面安全性.IIS权限设置 等,后者比如数据库被盗.破译密码等。以下以几 个具体安全漏洞为例进行分析。
(-)ASP源代码安全隐患
因为ASP程序釆用非编译性语言,当页面访问 出现错误,源代码就会在报错页面显示,这样就使 程序源代码的安全性大大降低。一旦遭遇黑客侵, 就可以轻松获取ASP源代码,造成源代码泄漏。另 外对于租用服务器用户也容易因为人为原因造成源 代码泄露。比如,编程人员通常使用ASP技术来实 现网站交互,选择某种服务方式,的相关内容会在网 站地址拦内显示,黑客可以根据地址栏显示的信息轻 松获取页面验证进人加密网站,也就是说,不用网站登录账号和密码,就能进入网站浏览任何信息,容易 导致有价值的信息泄密。为有效防止ASP源代码泄 露,可以釆取以下措施对ASP页面进行加密防护: 编程逻辑借助组件技术,在DDL中写入编程程序, 既保障了 ASP技术的逻辑性,有确保了网站正常运 行;或者通过命令行脚本加密工具ScriptEncoder对 ASP页面脚本代码加密。需要说明的是,使用组件 技术每段ASP代码运行时,都要经过DDL逻辑操作,进 行组件化,操作起来任务繁琐复杂,利用脚本加密 工具加密ASP页面,较易操作.效果显著。
(二)密码验证漏洞隐患
密码验证漏洞是ASP众多信息安全漏洞的一 个,常见的攻击方式是SQL注入式攻击,利用代 码漏洞在服务器上运行SQL命令,进行攻击。由于 ASP代码存在漏洞,动态生成SQL命令时,如果不 验证输入的数据就容易受到黑客攻击,通过特殊查 询语句来获取一些重要的数据表数据,造成数据信 息泄漏。可以釆取以下措施进行防护:一是对验证 代码进行更改,确保用户名和密码两者全部输入正 确才能通过验证。二是编写代码要限制输入字符, 比如对特殊符号.标点.字符长度等进行限制,增 加保密性。三是通过ASP技术在SQL中的应用设计 科学合理的安全配置,便于对ASP技术提交的数据的 安全性进行检查,并对端口位置进行安全防护。四是 釆用MDS、字段加密等方法对ASP中的运行数据进 行全面存储,确保数据的完整性和准确性。五是通过 权限控制,对攻击路径进行切断,保护SQL的良好运 行。
(三)注册验证漏洞隐患
ASP通过表单来实现服务端和客户端交互,相 应的程序代码内容显示在浏览器地址栏,如果不釆 取适当安全防范,只要用户保存页面的路径和文件 名,或在代码后面加个判断语句,就能不通过验证 进入注册用户活动某页面,所以要釆取相关措施对 此类漏洞进行防护。一是加工处理需要验证的ASP 文件开头,并对上一个页面文件名进行跟踪,通过 进入上一页面才能进入此页面,可以通过两种方法 来实现。一是借助cookies实现。只要用户登陆过页 面信息会自动保存客户端cookies中,对其他限权访 问的页面也可以直接访问。二是借助session实现。 Session保存的变量在关闭浏览器之前,只要将用户 登录成功的信息在session中记录,用户就可以对其 它限权访问的页面直接访问浏览。
(四)ASP木马安全隐患
利用Asp木马入侵网站,可以轻松的篡改网页、 删除数据。黑客入侵通常是利用ASP程序上传功能 的缺陷进入后台程序,对ASP木马程序进行上传。 实际上ASP木马程序和其他ASP程序区别不大,所 以就很难发觉ASP木马,一旦木马程序被上传,黑 客就能轻松控制Asp程序,甚至能攻克服务器管理员 权限,对文件.数据库进行修改删除,对网站主业 进行篡改,严重是导致系统瘫痪。防范ASP木马主 要釆取以下几种措施:一是上传.维护网页时,管 理员尽量利用FTP,最好不试用和安装AS的上传; 二是调用ASP上传程序时一定要进行身份认证, 杜绝不信任的客户使用上传程序;三是对上传的文 件一定要限制其扩展名。比如:上传图片文件时, 设置为只能上传扩展名为.jpg或.gif的文件;四是使 用的ASP程序一定要从正规网站下载最新版本,及 时更新补丁,并对数据库名称.默认路径和管理员 密码进行定期修改,确保程序安全;五是要加强维 护,定期检查文件夹是否有陌生文件或数据表,一 旦发现即刻删除。六是对数据库.网页等重要文件 要及时备份,以免出现意外时能还原调用。
(五)数据库的安全隐患
当前简单的ASP网站多釆用Access数据库,程 序员通常会将数据库文件放在一个规范的目录下, 如果釆取某种方法获取数据库存储路径和文件名,就能下载Access数据库文件,无疑会造成信息泄 密。比如对信息发布数据库来说,通常会以某种形式 命名,存储路径通常设置固定形式,一旦输入命名形 式的这个地址,就可以随意下载数据库。再一点,由 于Access数据库加密简单,所以解密也较为容易。 因为数据库系统加密串是通过用户密码与某一固定密 钥“异或”形成的,但是由于经过两次异或就可以恢 复原值,只要用密钥与*.mdb文件加密串进行二次异 或操作,Access数据库密码就能轻松破解,从而编 制解密程序并获取Access数据库密码,这样数据库 信息就能轻松下载。可以釆取以下措施进行防护:一 是为Access数据库文件起一个非常规的名字,并保 存在几个目录下更改扩展名,这种情况下要想破译 Access数据库文件名就绝非易事。二是ASP程序设 计中尽量使用ODBC数据源,并在ODBC中设置数据 源,比如设置为conn.open 揙DBC-DSN名”,切忌 在程序中填写数据库名,一旦ASP源程序失密,数据 库名也会跟着受到牵连,Access数据库的路径和名 称就会显示,即便数据库名字起得多么非常规,在目 录中隐藏的多深,也会随着ASP源代码失密而泄漏。
(六)后台管理权限安全隐患
大多管理后台设计权限判断时,只在第一个登录 页面进行设计,其佘页面不作权限判断的要求,只要 后台检测出其他的子页面,黑客就可以对其操作。比 如对于一个用户管理系统来说,只要用搃nurl”搜索 关键词揳dd敁del?等关键词,用户添加.删除的 管理页面就能被检测出来,检测出的页面一旦没有进 行权限判断设计,页面就可以直接打开,篡改或删除数据信息,造成损失。
(七)ASP服务器安全性
ASP服务器操作系统通常由微软开发,NT, WindowsServer2000、WindowsServer2003等在 ASP服务器应用较为广泛。需要注意以下几个方面 的安全防护。一是要操作系统补丁要及时下载更新, 杀毒软件要经常升级。二是对Internet信息服务默认Web站点主目录进行更改,增加虚拟目录的设计, 或Inter-net信息服务中网站的日志目录路径要经常 更改。同时要注意系统分区上要避免主目录和虚拟 目录的建立,仅仅设计读取和记录访问的权限,应 用程序要设置为高级保护设置。三是在主域控制器 和系统分区上要避开IIS的建立,否则系统文件和 IIS都容易被非法访问,系统分区就会遭到非法用户 入侵。四是不安全的组件或不需要组件就能完成安 装的要切忌安装,确需组件来完成安装的要安装可 靠的知名的组件。
三、结语
随着web技术不断深入发展,网络技术正在发 生日新月异的变化,ASP作为网站建设常用的一种 设计技术,以其简单易行的操作方式和强大的功能 被广泛应用在网站开发建设中。但ASP实际运用中 存在的信息安全问题,成为一项重要的研究课题。 只有不断的加强分析和研究,对各方面存在的漏洞 进行安全性分析,并因策制宜的釆取相应的防范措 施,才能更好的防范因漏洞带来的安全风险,促进 网站建设的健康快速发展。