ASP技術(shù)的安全研究

摘 要:本文主要闡述Asp技術(shù)及用Asp技術(shù)的WEB服務器的安全問題進行分析和總結(jié)，從而提高使用ASP技術(shù)的WEB開發(fā)和應用的安全。

關(guān)鍵詞:ASP Web 服務器 數(shù)據(jù)庫 安全

中圖分類號:TP2文獻標識碼:A文章編號:1674-098X(2011)04(b)-0023-01

ASP是Active Server Page的縮寫，意為“動態(tài)服務器頁面”。ASP是微軟公司開發(fā)的代替CGI腳本程序的一種應用，它可以與數(shù)據(jù)庫和其它程序進行交互，是一種簡單、方便的編程工具。ASP的網(wǎng)頁文件的格式是.asp，現(xiàn)在常用于各種動態(tài)網(wǎng)站中。

1 ASP概述

1.1 ASP工作原理

當在Web站點中融入ASP功能后，將出現(xiàn)以下情況:

(1)用戶向瀏覽器地址欄輸入網(wǎng)址，默認頁面的擴展名是.asp。

(2)瀏覽器向服務器發(fā)出請求。

(3)服務器引擎開始運行ASP程序。

(4)ASP文件按照從上到下的順序開始處理，執(zhí)行腳本命令，執(zhí)行HTML頁面內(nèi)容。

(5)頁面信息發(fā)送到瀏覽器。

1.2 ASP網(wǎng)頁特點

(1)利用ASP可以實現(xiàn)突破靜態(tài)網(wǎng)頁的一些功能限制，實現(xiàn)動態(tài)網(wǎng)頁技術(shù);

(2)ASP文件是包含在HTML代碼所組成的文件中的，易于修改和測試;

(3)服務器上的ASP解釋程序會在服務器端執(zhí)行ASP程序，并將結(jié)果以HTML格式傳送到客戶端瀏覽器上，因此使用各種瀏覽器都可以正常瀏覽ASP所產(chǎn)生的網(wǎng)頁;

(4)ASP提供了一些內(nèi)置對象，使用這些對象可以使服務器端腳本功能更強。例如可以從web瀏覽器中獲取用戶通過HTML表單提交的信息，并在腳本中對這些信息進行處理，然后向web瀏覽器發(fā)送信息。

(5)ASP可以使用服務器端ActiveX組件來執(zhí)行各種各樣的任務，例如存取數(shù)據(jù)庫、發(fā)送Email或訪問文件系統(tǒng)等。

(6)由于服務器是將ASP程序執(zhí)行的結(jié)果以HTML格式傳回客戶端瀏覽器，因此使用者不會看到ASP所編寫的原始程序代碼，可防止ASP程序代碼被竊取。

(7)方便連接ACCESS與SQL數(shù)據(jù)庫。

(8)開發(fā)需要有豐富的經(jīng)驗，否則會留出漏洞，讓黑客利用進行注入攻擊。

2 ASP程序設計安全技術(shù)

Asp程序設計的安全主要涉及三個方面:Asp源代碼的安全、Asp程序設計的安全和數(shù)據(jù)庫安全。

2.1 ASP源代碼的安全

(1)保證ASP源碼的安全的主要技術(shù)是Asp腳本加密技術(shù)。常用方法有兩種:一是ASP2DLL技術(shù)。二是利用微軟提供的Script Encoder加密軟件對Asp頁面進行加密。

(2)合適的腳本。應用程序的腳本映射保證了Web服務器不會意外地下載Asp文件的源代碼，但不安全或有錯誤的腳本易導致Asp源代碼泄漏。

2.2 程序設計中的安全

(1)用戶名、口令機制。用戶名、口令是最基本的安全技術(shù)，在Asp中常采用Form表單提交用戶輸入的帳號和密碼，與用戶標識數(shù)據(jù)庫中相應的字段進行匹配，在必要的場合可以使用MD5算法來加密用戶輸入的密碼，可以保證在線路被竊聽的情況下依然保證數(shù)據(jù)的安全，保護用戶口令的安全。

(2)注冊驗證。為了網(wǎng)站資源的安全性和易于管理，可以對用戶進行分級，給定權(quán)限，使特定用戶訪問特定的資源群，也可以阻止未授權(quán)用戶使用網(wǎng)站的資源，這就需要對用戶進行注冊驗證。

(3)網(wǎng)頁過期管理。考慮到有可能用戶在使用網(wǎng)頁的過程中，有可能會長時間離開計算機處理別的事情，這樣會給別有用心的人有可乘之機，所以應該給網(wǎng)頁一個過期時間。

(4)頁面緩沖管理:頁面緩沖可以加快網(wǎng)站的瀏覽速度，但也會給非法用戶提供了越權(quán)瀏覽的機會。因此，重要的Web頁面(如身份驗證頁面)必須禁止頁面緩存，瀏覽器每次向Web服務器請求新頁面。

(5)程序錯誤管理:錯誤的執(zhí)行參數(shù)和意外的執(zhí)行過程，都可以導致頁面出現(xiàn)錯誤提示，而這些錯誤提示會提供給別人很多網(wǎng)站的信息，所以在編程過程中要注意對異常數(shù)據(jù)的處理和意外事件的控制，才能保證網(wǎng)站的安全。

2.3 數(shù)據(jù)庫的安全

(1)ACCESS數(shù)據(jù)庫:在一些小型程序中，常用到ACCESS數(shù)據(jù)庫，ACCESS數(shù)據(jù)庫易于管理而安全性低，應注意在命名時不要采用常規(guī)的*.mdb的后綴名，而應該用*.asp，*.inc文件的后綴名，這樣，即使數(shù)據(jù)庫路徑即使被別人發(fā)現(xiàn)，也不能下載數(shù)據(jù)庫而導致信息的不安全。

(2)SQL SERER數(shù)據(jù)庫:更改sa口令，取消guest帳號。并且不能把sa帳號的密碼寫在應用程序或者腳本中。加強數(shù)據(jù)庫訪問日志的監(jiān)視，定期備份數(shù)據(jù)庫。同時，制訂完整的數(shù)據(jù)庫備份策略，在必要的時候能夠?qū)崿F(xiàn)對數(shù)據(jù)庫的恢復。

(3)屏蔽數(shù)據(jù)庫路徑信息。為防止數(shù)據(jù)庫路徑和名稱隨ASP源代碼失密而失密，常使用ODBC數(shù)據(jù)源。使用ODBC數(shù)據(jù)源連接數(shù)據(jù)庫的命令是Conn.open “DSN名”。

3 Web服務器的安全

Asp技術(shù)中常用微軟自帶的IIS架設WEB服務器。WEB服務器的安全包括了系統(tǒng)的安全和IIS的安全。

3.1 系統(tǒng)的安全

(1)目錄文件的保護:NTFS權(quán)限。NTFS文件系統(tǒng)提供了比Fat32更為安全的文件管理方式，它通過文件訪問控制表(ACL)定義了用戶訪問文件和目錄的權(quán)限級別，如果用戶具有打開文件的權(quán)限，計算機則允許該用戶訪問文件。通過設定目錄和文件的訪問權(quán)限，禁止無關(guān)用戶對目錄文件進行復制、修改、刪除等操作，限制對系統(tǒng)的入侵。

(2)防火墻技術(shù)。可以根據(jù)WEB服務器的應用范圍，決定防火墻的位置。

(3)審核與監(jiān)視技術(shù)。安全審核負責監(jiān)視系統(tǒng)中各種與安全有關(guān)的事件，生成安全日志，并提供查看安全日志的方法。

(4)關(guān)閉不用的服務和協(xié)議，堵上系統(tǒng)的漏洞和后門。“盡量少開沒用到的服務”，如果開啟了某個服務，就要提防該服務可能引起的漏洞。

3.2 IIS的安全

(1)不要將IIS安裝在系統(tǒng)分區(qū)上

默認情況下，IIS與操作系統(tǒng)安裝在同一個分區(qū)中，這是一個潛在的安全隱患。因為一旦入侵者繞過了IIS的安全機制，就有可能入侵到系統(tǒng)分區(qū)。如果管理員對系統(tǒng)文件夾、文件的權(quán)限設置不是非常合理，入侵者就有可能篡改、刪除系統(tǒng)的重要文件，或者利用一些其他的方式獲得權(quán)限的進一步提升。將IIS安裝到其他分區(qū)，即使入侵者能繞過IIS的安全機制，也很難訪問到系統(tǒng)分區(qū)。

(2)修改IIS的安裝默認路徑

IIS的默認安裝的路徑是\\inetpub，Web服務的頁面路徑是\\inetpub\\wwwroot，這是任何一個熟悉IIS的人都知道的，入侵者也不例外，使用默認的安裝路徑無疑是告訴了入侵者系統(tǒng)的重要資料，所以需要更改。

(3)刪除危險的IIS組件

默認安裝后的有些IIS組件可能會造成安全威脅，例如Internet服務管理器(HTML)、SMTP Service和NNTP Service、樣本頁面和腳本，大家可以根據(jù)自己的需要決定是否刪除。

參考文獻

[1]陳婧等.基于ASP技術(shù)的MIS安全機制研究[J].情報雜志，2003.

[2]華軍等.基于ASP技術(shù)網(wǎng)站建設的安全性研究[J].計算機工程和應用，2003.