ＡＳＰ網站常見漏洞及防范方法淺析

摘要：介紹利用ASP開發動態網站時存在的常見漏洞，比如用戶密碼漏洞、數據庫下載漏洞、非法文件上傳漏洞等，淺析漏洞產生的原因并給出了解決辦法。

關鍵詞：ASP漏洞；入侵防范；網站安全

1 用戶名與口令被破解

1.1 攻擊原理

用戶名與口令，黑客們往往可以通過啊D、明小子等軟件暴力破解。特別要記住限制萬能密碼('or'='or')的使用。

1.2 防范技巧

涉及用戶名與口令的程序最好封裝在服務器端，盡量少在ASP文件里出現， 涉及與數據庫連接的用戶名與口令應給予最小的權限。只給它存儲的權限，千萬不要直接給予該用戶修改、插入、刪除記錄的權限。再則，為了防止萬能密碼的使用，我們需加入以下代碼：

2 代碼不夠嚴格

2.1 攻擊原理

將出現如下這些情況：

(1) 直接上傳asp、asa、jsp、cer、php、aspx、htr、cdx之類的木馬，拿到shell。

(2) 在上傳時在后綴后面加空格或者加幾個點，例如：*.asp ，*.asp..。

(3) 利用雙重擴展名上傳，例如：*.jpg.asa格式(也可以配上第二點一起利用)。

(4) gif文件頭欺騙，gif89a文件頭檢測是指程序為了他人將asp等文件后綴改為gif后上傳，讀取gif文件頭，檢測是否有gif87a或gif89a標記，是就允許上傳，不是就說明不是gif文件。而欺騙剛好是利用檢測這兩個標記，只要在木馬代碼前加gif87a就能騙過去。

2.2 防范技巧

如果你的網站支持文件上傳，要特別注意asp網站上傳代碼的分析以防上傳文件的擴展名過濾不嚴。一定要設定好你要上傳的文件格式。最好在上傳程序里做一次驗證，那么你的上傳程序安全性將會大大提高。如下代碼只允許上傳gif、jpg、jpeg、bmp、png、doc、txt、swf的文件。代碼如下：

'聲明文件類型

Dim filesext

filesext=\"gif，jpg，jpeg，bmp，png，doc，txt，swf\"

If Request.QueryString(\"action\")=\"Upload\" Then Server.ScriptTimeOut=999999

'判斷文件類型是否合格

Private Function CheckFileExt (fileEXT)

dim Forumupload

Forumupload=split(filesext，\"，\")

for i=0 to ubound(Forumupload)

if lcase(fileEXT)=lcase(trim(Forumupload(i))) then CheckFileExt=true

exit Function

else CheckFileExt=1

end if

next

End Function

綜上所述，我們認識到asp網站存在著一些基本漏洞，這些漏洞通過我們的學習是可以避免的。此外，我們還一定要清醒認識網絡的脆弱性和信息安全的潛在威脅，對于網站的服務器要積極采取有力的安全管理和策略，這些對于網站的正常運行是非常有必要的。

——————————

參考文獻

[1]龍馬工作室.asp+access網站開發實例精講[M].北京:人民郵電出版社，2007.2.

2007年福建省大學生創新性實驗項目，課題名稱：網絡攻防技術的研究與實踐。