2011 NO.11Science and Technology Innovation Herala| 科技創(chuàng)新導(dǎo)報(bào)IT技術(shù)ASP技術(shù)的安全研究孟盛(杭州師范大學(xué)錢江學(xué)院浙江省杭州市 310012)摘要:本文主要闞建Asp技術(shù)及 用Asp技術(shù)的WEB服務(wù)器的安全問題進(jìn)行分折和總站,從而提高使用ASP技術(shù)的WEB開發(fā)和應(yīng)用的安全。關(guān)鍵詞:ASP Web 服務(wù)器數(shù)據(jù)庫(kù)4中圖分類號(hào):TP2文獻(xiàn)標(biāo)識(shí)碼: A文章編號(hào):1674-098X(2011)04(b)-0023-01ASP是Active Server Page的縮寫 ,意(2)合適的腳本。應(yīng)用程序的腳本映射3 Web服務(wù)器的安全為“動(dòng)態(tài)服務(wù)器頁(yè)面" .ASP是微軟公司開保證 了Web服務(wù)器不會(huì)意外地下載Asp文Asp技術(shù)中常用微軟自帶的IIS架設(shè)發(fā)的代替CGI腳本程序的一種應(yīng)用,它可以件的源代碼,但不安全或有錯(cuò)誤的腳本易WEB服:務(wù)器。WEB服務(wù)器的安全包括了系與數(shù)據(jù)庫(kù)和其它程序進(jìn)行交互,是一種簡(jiǎn)導(dǎo)致Asp源代碼滑漏。統(tǒng)的安會(huì)和IIS的安全。單、方便的編程工具。ASP的網(wǎng)貞文件的格2.2 程序設(shè)計(jì)中的安全3.1系統(tǒng)的安全式是.asp,現(xiàn)在常用于各種動(dòng)態(tài)網(wǎng)站中.(1)用戶名、口令機(jī)制。用戶名.口令是(1)日錄文件的保護(hù):NTFS權(quán)限.NTFS最萜本的安全技術(shù)，在Asp中常采用Form文件系統(tǒng)提供了比Fat32更為安全的文件1 ASP概述表單提交用戶輸人的帳號(hào)和密碼,與用戶管理方式，它通過(guò)文件訪問控制衣(ACL)定1.1 ASP工作原理標(biāo)識(shí)數(shù)據(jù)庫(kù)中相應(yīng)的字段進(jìn)行匹配,在必義了用戶訪問文件和月錄的權(quán)限級(jí)別，如當(dāng)在Web站點(diǎn)中融人ASP功能后,將出要的場(chǎng)合叮以使用MD5算法來(lái)加密用戶輸果用戶具有打開文件的權(quán)限， 計(jì)算機(jī)則允現(xiàn)以下情況:入的密碼，可以保iE在線路被竊聽的情況許該用戶訪問文件.通過(guò)設(shè)定目錄和文件(1)用戶向?yàn)g覽器地址欄輸入網(wǎng)址,默下依然 保證數(shù)據(jù)的安全，保護(hù)用戶口令的的訪問權(quán)限， 禁止無(wú)關(guān)用戶對(duì)目錄文件進(jìn)認(rèn)頁(yè)面的擴(kuò)展名是.asp.行復(fù)制.修改.劓除等操作,限制對(duì)系統(tǒng)的(2)湖覽器向服務(wù)器發(fā)出請(qǐng)求。(2)注冊(cè)驗(yàn)證。為了網(wǎng)站資源的安全性入侵。(3)服務(wù)器引擎開始運(yùn)行ASP程序。和易于管理，可以對(duì)用戶進(jìn)行分級(jí).給定權(quán)(2)防火墻技術(shù)?？梢愿鶕?jù)WEB服務(wù)器(4)ASP文件按照從上到下的順序開始限，使特定用戶訪問特定的資源群.也可以的應(yīng)用范圍,決定防火墻的位置.處理,執(zhí)行腳本命令,執(zhí)行HTML頁(yè)面內(nèi)阻止未授權(quán)用戶使用網(wǎng)站的資源，這就需(3)審核與監(jiān)視技術(shù)。安會(huì)審核負(fù)責(zé)監(jiān)要對(duì)用戶進(jìn)行注冊(cè)驗(yàn)證。視系統(tǒng)中各種與安全有關(guān)的事件.生成安.(5)頁(yè)面信息發(fā)送到瀏覽器。(3)網(wǎng)頁(yè)過(guò)期管理?？紤]到有可能用戶全日志， 并提供查看安全8志的方法。1.2 ASP網(wǎng)頁(yè)特點(diǎn)在使用網(wǎng)頁(yè)的過(guò)程中，有可能會(huì)長(zhǎng)時(shí)間離(4)關(guān)閉不用的服務(wù)和協(xié)議,堵上系統(tǒng)(1)利用ASP可以實(shí)現(xiàn)突破靜態(tài)網(wǎng)頁(yè)的開計(jì)算機(jī)處理別的事情.這樣會(huì)給別有用的漏洞和后門?！氨M盤少開沒用到的服務(wù)”.一些功能限制，實(shí)現(xiàn)動(dòng)態(tài)網(wǎng)頁(yè)技術(shù):心的人有可乘之機(jī)，所以應(yīng)該給網(wǎng)貞一個(gè)如果開啟了 某個(gè)服務(wù),就要提防該服務(wù)可(2)ASP文件是包含在HTML代碼所組過(guò)期時(shí)間。能引起的漏洞。成的文件中的，易于修改和測(cè)試，(4)頁(yè)面緩沖管理:頁(yè)面緩沖可以加快3.2 |IS的安全(3)服務(wù)器上的ASP解釋程序會(huì)在服務(wù)網(wǎng)站的瀏覽速度,但也會(huì)給非法用戶提供(1)不要將IIS安裝在系統(tǒng)分區(qū)上器端執(zhí)行ASP程序,并將結(jié)果以HTML格式了越權(quán)瀏覽的機(jī)會(huì)。因此,重要的Web頁(yè)面默認(rèn)情況下,IIS與操作系統(tǒng)安裝在同傳送到客戶端瀏覽器上,因此使用各種瀏(如身 份驗(yàn)證貞面)必須禁止頁(yè)面緩存,瀏覽一個(gè)分區(qū)中, 這是一個(gè)潛在的安全隱患。因覽器都可以正常瀏覽ASP所產(chǎn)生的網(wǎng)貞:器每次向Web服務(wù)器請(qǐng)求新頁(yè)面。為一旦入侵者繞過(guò)了IIS的安全機(jī)制，就有(4)ASP提供了一些內(nèi)置對(duì)象.使用這些(5)程序錯(cuò)誤管理:錯(cuò)誤的執(zhí)行參數(shù)和可能入侵到 系統(tǒng)分區(qū)。如果管理員對(duì)系統(tǒng)對(duì)象可以使服務(wù)器端腳本功能更強(qiáng)。例如意外的執(zhí)行過(guò)程.都可以導(dǎo)致貝面出現(xiàn)錯(cuò)文件夾.文件的權(quán)限設(shè)置不是非常合理,入可以從web瀏覽器中獲取用戶通過(guò)HTML誤提示，而這些錯(cuò)誤提示會(huì)提供給別人很侵者就有可能篡改.刪除系統(tǒng)的承要文件..表單提交的信息，并在腳本中對(duì)這些信息多 網(wǎng)站的信息,所以在編程過(guò)程中要注意或 者利用-些其他的方式獲得權(quán)限的進(jìn)一進(jìn)行處理.然后向web瀏覽器發(fā)送信息。對(duì)畢常數(shù)據(jù)的處理和意外事件的控制,才步提 升.將IIS安裝到其他分區(qū),即使入侵者(5)ASP可以使用服務(wù)器端ActiveX組件能保證網(wǎng)站的安全.能繞過(guò)IIS的安全機(jī)制，也很難i訪問到系統(tǒng)來(lái)執(zhí)行各種各樣的任務(wù)，例如存取數(shù)據(jù)庫(kù)、2.3數(shù)據(jù)庫(kù)的安全發(fā)送Email或訪間文件系統(tǒng)等。(1)ACCESS數(shù)據(jù)庫(kù):在一些小型程序(2)修改IIS的安裝默認(rèn)路徑(6)由于服務(wù)器是將ASP程序執(zhí)行的結(jié)中 ,常用到ACCESS數(shù)據(jù)庫(kù), ACCESS數(shù)據(jù)IIS的默認(rèn)安裝的路徑是\inetpub, Web果以HTML格式傳回客戶端瀏覽器,因此庫(kù)易 于管理而安全性低，應(yīng)注意在命名時(shí)服務(wù)的 貝面路徑是\inetpub\wwwroot,這是使用者不會(huì)看到ASP所編寫的原始程序代不要采用常規(guī)的*.mdb的后綴名，而應(yīng)該任何一個(gè)熟悉IIS的人都知道的,入侵者也碼，可防止ASP程序代碼被竊取。用*.asp.*. inc文件的后綴名,這樣,即使數(shù)不例外 .使用默認(rèn)的安裝路徑無(wú)疑是告訴了(7)方便連接ACCESS與SQL數(shù)據(jù)庫(kù)。據(jù)庫(kù)路徑即使被別人發(fā)現(xiàn).也不能下載數(shù)人侵者 系統(tǒng)的重要資料,所以需要更改。(8)開發(fā)需要有豐富的經(jīng)驗(yàn),否則會(huì)留據(jù)庫(kù)而導(dǎo)致信息的不安全。(3)刪除危險(xiǎn)的IIS組件出漏洞，讓黑客利用進(jìn)行注人攻擊。(2)SQL SERER數(shù)據(jù)庫(kù): 更改sa口令,取默認(rèn)安裝后的有些I1S組件可能會(huì)造成消guest帳號(hào)。并且不能把sa帳號(hào)的密碼寫安 全威脅,例如Intemet服務(wù)管理器(HTML).2 ASP程序設(shè)計(jì)安全技術(shù)在應(yīng)用程序或者腳本中。加強(qiáng)數(shù)據(jù)庫(kù)訪問SMTP Service和NNTP Service. 樣本頁(yè)面Asp程序設(shè)計(jì)的安全主要涉及三個(gè)方日志的監(jiān)視， 定期備份數(shù)據(jù)庫(kù)。同時(shí),制訂和腳本,大家可以根據(jù) 自己的需要決定是面: Asp源代碼的安全. Asp程序設(shè)計(jì)的安全完整的數(shù)據(jù)庫(kù) 備份策略,在必要的時(shí)候能否刪除。和數(shù)據(jù)庫(kù)安全。夠?qū)崿F(xiàn)對(duì)數(shù)據(jù)庫(kù)的恢復(fù)。2.1 ASP源代碼的安全(3)屏敵數(shù)據(jù)庫(kù)路徑信息中國(guó)煤化工(1)保證ASP源碼的安全的主要技術(shù)是據(jù)庫(kù) 路徑和名稱隨ASP源代CSP技術(shù)的MIS安全機(jī)制Asp腳本加密技術(shù)。常用方法有兩種:一是.密,常使用ODBC數(shù)據(jù)源。使用MYHCNMH:，2003.ASP2DLL技術(shù)。二是利用微軟提供的Script源連接數(shù)據(jù)庫(kù)的命令是Conn.open [2] 華軍等.基于ASP技術(shù)網(wǎng)站建設(shè)的安全Encoder加密軟件對(duì)Asp頁(yè)面進(jìn)行加密?！癉SN名"。性研究[J].計(jì)算機(jī)工程和應(yīng)用, 2003.科技創(chuàng)新導(dǎo)報(bào)Science and Technology Innovatlon Herald23