关于ＡＳＰ网站设计安全性探讨.docVIP

关于ＡＳＰ网站设计安全性探讨 　　论文关键词：ASP；黑客攻击；SQL注入；安全漏洞；木马 后门 　　论文摘要：网络上的动态网站以ASP为多数，我们学校的网站也是ASP的。笔者作为学校网站的制作和维护人员，与ASP攻击的各种现象斗争了多次，也对网站进行了一次次的修补，根据工作经验，就ASP网站设计常见安全漏洞及其防范进行一些探讨。本文结合 ASP 动态网站开发经验，对ASP 程序设计存在的信息安全隐患进行分析，讨论了ASP 程序常见的安全漏洞，从程序设计角度对 WEB信息安全及防范提供了参考。 　　 　　1网络安全总体状况分析 　　2007年1月至6月期间，半年时间内，CNCERT/CC接收的网络仿冒事件和网页恶意代码事件，已分别超出去年全年总数的14.6%和12.5%。 　　从CNCERT/CC掌握的半年情况来看，攻击者的攻击目标明确，针对不同网站和用户采用不同的攻击手段，且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式，也不排除放置恶意代码的可能。对中小企业，尤其是以网络为核心业务的企业，采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索，影响企业正常业务的开展。对于个人用户，攻击者更多的是通过用户身份窃取等手段，偷取该用户游戏账号、银行账号、密码等，窃取用户的私有财产。 　　 　　2 用IIS+ASP建网站的安全性分析 　　微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术，被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是，该解决方案在为我们带来便捷的同时，也带来了严峻的安全问题。本文从 ASP 程序设计角度对 WEB 信息安全及防范进行分析讨论。 　　 　　3 SP安全漏洞和防范 　　3.1 程序设计与脚本信息泄漏隐患 　　bak 文件。攻击原理：在有些编辑ASP程序的工具中，当创建或者修改一个ASP文件时，编辑器自动创建一个备份文件，如果你没有删除这个bak文件，攻击者可以直接下载，这样源程序就会被下载。 　　防范技巧：上传程序之前要仔细检查，删除不必要的文档。对以BAK为后缀的文件要特别小心。 　　inc文件泄露问题。攻击原理：当存在ASP的主页正在制作且没有进行最后调试完成以前，可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找，会得到有关文件的定位，并能在浏览器中查看到数据库地点和结构的细节，并以此揭示完整的源代码。 　　防范技巧：程序员应该在网页发布前对它进行彻底的调试。首先对.inc文件内容进行加密，其次也可以使用.asp文件代替.inc文件，使用户无法从浏览器直接观看文件的源代码。 　　3.2 对ASP页面进行加密。为有效地防止ASP源代码泄露，可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入 DLL之中；二是使用微软的Script Encoder对ASP页面进行加密。 　　 3.3 程序设计与验证不全漏洞 　　验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容，但网上有很多攻击软件，如注册机，可以通过浏览WEB，扫描表单，然后在系统上频繁注册，频繁发送不良信息，造成不良的影响，或者通过软件不断的尝试，盗取你的密码。而我们使用通过使用验证码技术，使客户端输入的信息都必须经过验证，从而可以解决这个问题。 　　登陆验证。对于很多网页，特别是网站后台管理部分，是要求有相应权限的用户才能进入操作的。但是，如果这些页面没有对用户身份进行验证，黑客就可以直接在地址栏输入收集到的相应的 URL 路径，避开用户登录验证页面，从而获得合法用户的权限。所以，登陆验证是非常必要的。 　　SQL 注入。SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。 　　SQL 注入攻击是最为常见的程序漏洞攻击方式，引起攻击的根本原因就是盲目信任用户，将用户输入用来直接构造 SQL 语句或存储过程的参数。以下列出三种攻击的形式： 　　A．用户登录： 假设登录页面有两个文本框，分别用来供用户输入帐号和 密码，利用执行SQL 语句来判断用户是否为合法用户。试想，如果黑客在密码文本框中输入 OR 0=0，即不管前面输入的用户帐号和密码是什么，OR后面的 0=0 总是成立的，最后结果就是该黑客成为了合法的用户。 　　B．用户输入：假设网页中有个搜索功能，只要用户输入搜索关键字，系统就列出符合条件的所有记录，可是，如果黑客在关键字文本框中输入 GO DROP TABLE