ASP网站的安全性研究与实现
时间:2021-04-06 07:57:42 来源:达达文档网 本文已影响 人 
摘要:ASP(Active Serve Page)是由微软开发的一种服务器端脚本开发环境,它结合了ADO组建,能够完成Web数据库中如增删、查询、更新等绝大部分功能,也可以创建及运行交互、动态的服务程序,能够在很大程度上给数据库运行带来便捷,但在技术运行中也存在着很多安全方面的漏洞,如何解决这一问题对于网络环境下的数据安全及应用系统的正常运行有着极其重要的意义。本文笔者结合自己对ASP动态网站的开发经验,就ASP程序设计中信息安全方面存在的隐患进行分析,对ASP网站设计中的常见安全漏洞进行了探讨,并从程序设计的角度提出了自己关于WEB信息安全防范的建议,以供参考。
关键词:ASP动态网站;安全漏洞;信息安全;防范措施
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 11-0000-02
ASP Web Security Research and Implementation
Wu Jian,Deng Honghui
(Guang"an Vocational and Technical College,Guangan638000,China)
Abstract:ASP(Active Serve Page)is developed by Microsoft as a server-side scripting development environment,which combines the ADO formed,to complete a Web database,such as deletions,query,update,etc.
Most of the functions,you can create and run interactive and dynamic service program,to a great extent to bring convenience to the database to run,but in the technical operation,there are a lot of security vulnerabilities,how to solve this problem for the network environment,data security and application systems to normal operation has an important significance.This author combines his own on the ASP dynamic website development experience,the ASP program design information security risks that exist in the analysis of the ASP website design common security vulnerabilities were discussed,and from the programming point of view put forward their own on the WEB information security recommendations for reference.
Keywords:ASP dynamic website;Security vulnerabilities;Information security;Precautions
ASP全称为Active Serve Page,即动态服务器网页,它的实质作用就是作为运行于服务器端的脚本而存在。如下图:
现阶段在网站建设中流行的脚本语言有JSP,ASP,ASP.net,PHP。由于ASP网站在管理上相对较为容易,且简单易学,给人们带来很大的便利,因此,大部分网站建设人员通常会选择ASP作为建设网站的脚本语言。也正是由于其简单容易也导致其容易受到网络攻击,此外,网站维护人员对网站缺乏维护也给网络攻击提供了便利,微软推出的IIS+ASP的解决方案,虽然在很大程度上给人们带来便利,但也带来了一系列相应的安全问题。导致目前针对ASP的攻击层不不穷,在进行网上银行交易、网上调查、电子商务、搜索引擎、BBS等各种互联网活动时存在着很大的安全隐患。本文主要对ASP安全漏洞及防范进行分析讨论。
一、程序设计信息及脚本信息泄漏的安全隐患
(一)bak文件泄漏隐患。在某些ASP程序的编辑工具中,每当修改或创建一个ASP文件的时候,编辑器就会自动备份,如果使用者不能及时删除这个bak文件,就会给攻击者利用备份文件攻击带来便利,从而下载源程序。因此,使用者在上传程序之前要对计算机进行细致的检查,保证其中不存在备份文档。对于以bak为后缀的文件要经检查后及时删除。
(二)inc文件泄漏隐患。在制作存在ASP的主页时,如果没有完成调试之前就进行,就能够被某些搜索引擎机动搜索,如果有人在此时利用搜索引擎查找这些网页,就可以定位相关文件,并浏览到数据库的结构细节,进而以此找出完整的源代码。因此,在网页发布之前程序员要对其进行完整的调试。对其中的inc文件要进行加密,或者使用asp文件代替也可以,以防止用户直接从浏览器中观看文件的源代码。
(三)除了以上方法之外,也可以对ASP页面加密以防止ASP源代码泄漏。加密方法可以采取以下两种:一是使用Script Encoder对ASP页面进行加密;二是采取组件技术将网站编程的逻辑封到DLL中。
二、程序设计及验证不全面的隐患
(一)验证码。在ASP网站中,一般的客户端交互通常只按要求输入内容即可,这就给如注册机之类的攻击软件带来方便,它能够通过扫描WEB表单,在系统上频繁注册并发送垃圾信息,或者通过软件不断尝试破译密码,不论哪种情况都会给网站带来不良的影响。因此,我们可以将验证码技术融入网站程序中,使客户端在输入信息时必须经过验证,从而解决这些问题。
(二)登陆验证。大部分网站的后台管理部分在进入时有权限要求,但其中很多都没有用户身份验证的要求,这样,攻击者就可以通过查看地址栏收集相关的URL路径,从而避开用户登录页面而直接获得合法登录权限。因此,对于这类网页而言,登陆验证是不可或缺的。
(三)SQL注入隐患。SQL注入攻击方式最为常见,它是利用系统程序中的漏洞进行攻击,受到这种攻击的根本原因就是对用户盲目信任。SQL注入就是正常的www端口访问,且表面上跟正常的web访问不存在区别,因此,目前大多数防火墙都不对SQL提出警示,可能计算机长期受到侵入都不会发觉。它的攻击形式主要有以下三种:
1.用户输入:如果在一个网站中存在搜索功能,使用者只要输入关键字,系统就能自主列出符合条件的所有内容。此时,如果攻击者在搜索框中输入‘GO DROP TABLE’用户表,就能够将所有用户表删除。
2.用户登录:在网站登录页面如果有两个分别输入密码和用户名的文本框,通过用户登录来验证权限。如果攻击者在密码文本框中输入‘OR0=0’,就能够成为该网站符合权限的合法用户。
3.参数传递:常见的是,如果我们在打开一个链接时,其地址是HTTP://……asp?id=22,然后利用Request.QueryString[‘id’]在ASP页面中取得其ID值,可以构成SQL语句。而攻击者如果将其地址更改为HTTP://……asp?id=22 and user=0,就可以获得该数据库的用户名,并进一步攻击其数据库。
以上几个例子是最常见的攻击手段,在实际中,攻击者可以采用“猜测+精通的sql语言+反复尝试”的办法,在ASP网站中构造出各种形式的sql入侵。笔者针对如何降低或防御攻击,提出了以下意见:
1.在网站输入页面添加备注,以告知用户输入内容。
2.利用ASP校验控件在客户端对用户进行输入校验,如发现有非法字符输入,提示用户终止程序。
3.在ASP网站后台程序中利用公用函数对用户输入进行再次检查,以防攻击者避开客户端页面直接攻击后台。如发现可疑用户,马上终止程序进行,并将攻击者操作、IP等信息存储以备检查。
4.对于页面参数,利用Quest或Query String取得后,马上进行处理,当发现异常字符时,要及时判断并利用replace函数将其过滤。
5.当只有一种错误提示信息时,服务器只提示HTTP500错误。
6.在IIS中设置好每个网站的权限,对于静态网站只设置纯脚本权限,不给脚本和可执行权限。对于通过后台管理中心上传的文件目录,不设置执行权限。
三、上传漏洞
(一)上传隐患。在如论坛、校内网等提供文件上传功能的网站,在进行网页设计时如果不能全面过滤用户提交的参数,就会给攻击者带来方便,使其可以通过上传木马网页等恶意文件攻击该网站。因此,在文件上传之前,应该加入问价类型判断模块,对上传文件进行过滤,以防ASA、ASP、CER等恶意文件的上传。
(二)暴库。暴库就是通过网站程序的漏洞,利用技术手段将其数据库的数据非法下载到本地。尤其在IIS+ASP网站中,如果有人猜到或获得数据库的存储路径和文件名,就能够将数据下载到本地。
此外,由于Access数据库的密码相对较为简单,解密相对较为容易,导致数据库一旦被下载,其信息就没有任何安全保证了。
因此,为了防止数据库被下载,必须提高ASP+Access解决方案的安全性能。笔者提出了以下几种简单有效的方法:
1.使用ODBC数据源。在ASP程序设计中,如果条件能够达到的话,尽量使用ODBC数据源。
2.非常规命名法。将Access数据库的文件都给予非常规且复杂的命名,并将其放到不同的目录下。
3.使用MD5加密。采取MD5加密并结合图片生成验证码技术,将攻击者暴力破解的难度提高。
4.使用数据备份。建立备份数据,当网站因为某些原因或被攻击而丢失数据时,可以恢复原始数据,以确保网站在各种因素下的安全性。
四、ASP木马
由于ASP本身是的服务功能是由网站服务器提供的,因此,在实际中往往会存在ASP脚本的木马后门,而且不容易被杀毒软件查杀。这种木马被黑客称为永远不会被查杀的后门。对于web空间中的ASP木马,笔者提出了以下几种技巧进行查杀:
1.杀毒软件查杀。现阶段,随着asp木马的肆虐,许多asp木马已经被杀毒软件列入了黑名单,在杀毒时,利用杀毒软件对web空间中的文件进行扫描,能够及时发现并清除这些木马。
2.FTP客户端对比。有时候在查杀时,有些asp木马会进行加密伪装,躲避杀毒软件的查杀,如果遇到这种情况,我们可以使用一些如cuteftp,Flash FXP的客户端软件,这些软件中提供有文件对比功能,可以通过对FTP中的web文件和备份文件进行对比,从而发现web空间中是否有多出来的可疑文件。
3.利用组件性能如思易asp木马追捕来查找asp木马。
4.利用Beyond Compare 2进行对比。有些渗透性的asp木马,可以将代码插入到web空间的指定文件夹中,只有使用触发语句才能将其打开,在平常情况下并不会显示出来,隐蔽性相对而言是非常高的。这时候,我们可以使用Beyond Compare 2来进行有效的对比查找。
在对asp木马进行查杀时,对于躲藏的asp木马,我们要多种方式相结合,有效的对比查找,进而对其查杀。
此外,笔者通过自己多年对asp木马的查杀经验,总结出了asp木马防范的十个注意事项:
1.在asp网站中,尽量避免安装asp的上传程序,对于要上传的文件建议用户通过FTP来上传。
2.在asp的程序管理中,管理员对于用户名和密码的设置,一定要具有复杂性和相对隐蔽性,并进行周期性的更换,以确保程序管理中的安全性。
3.关于asp程序的下载,一定要到正规的网站操作,下载完成后要及时对存放路径和数据库名称做出必要的修改,且数据库中文件的命名也要具有一定的复杂性。
4.ASP网站程序要及时进行更新,保持其程序是最新版本。
5.在asp网站页面上,尽量避免加注后台管理程序登录的页面链接。
6.在每次网站维护后可以删除后台管理程序的登录页面,在下次维护时再上传,以防止网站程序出现未知的漏洞。
7.对于数据库中较为重要的文件要使用数据备份,并将备份重命名存储到其他文件目录下。
8.对于ASP网站要多进行日常维护,并有目的的对比,查找web空间里是否出现来历不明的文件。
9.在日常运行中,如发现被人入侵,除非网站管理人员能够识别出所有关于木马的文件,否则对于所有文件都要删除。在新文件重新上传之前,要将网站中所有ASP程序重新设定,对于密码及用户名登录页面也要重置,并将数据库名称及储存路径以及后台管理程序的路径重新修改。
五、结束语
以上是笔者对于ASP网站的常见漏洞及其防范措施分析,旨在为提高ASP网站的安全性提供理论参考。随着计算机网络的飞速发展,其应用也更加广泛和深入。ASP的开发为网站开发提供了便捷,但与此同时,潜在的安全隐患也日益复杂,越来越突出。由于网络安全技术的多样性和复杂性,使得网络中的攻击无处不在,只有我们不断的改进程序,不断优化网络安全管理技术,将网站中潜在的隐患考虑周全,以专业的网络安全技术、完善的网络安全服务、高效的网络安全管理系统应对黑客的入侵,并及时总结概括最新的网站攻击方法,以制定有效的防范措施,从而保证ASP网站的安全性实现。
参考文献:
[1]郜亚丽,许伟昶.基于ASP网站的安全漏洞及防护策略研究[J].河南广播电视大学学报,2007,4
[2]朱杰.构建ASP网站的安全性分析[J].科教文汇,2007,5X
[3]宋宏泉.ASP网站的安全漏洞与防范措施[J].齐齐哈尔医学院学报,2005,7
[4]王新,李晖.浅谈ASP网站的安全防护[J].计算机光盘软件与应用,2010,10
[5]姜志军.基于ASP网站的安全问题[J].电脑知识与技术:学术交流,2007,4
