ＡＳＰ代码安全性解析及黑客入侵防范方法.docVIP

ＡＳＰ代码安全性解析及黑客入侵防范方法 　　摘要：介绍了ASP的工作机理和用ASP开发网站存在的安全性问题，提出了相应的解决方法。并给出一些提高ASP安全性的建议。这些方法也适用于分析和解决其他ASP的安全漏洞。 　　关键词：ASP；脚本；加密；数据库 　　中图分类号：TP311文献标识码：A文章编号：1009-3044(2008)34-1848-02 　　Talking about the Security of ASP Code and the Defence Measure for Hacker 　　ZOU Ben-na 　　(Party School of Huludao City, Huludao 125000, China) 　　Abstract: This introduces the working mechanism and web security of ASP, and sets out some measures. In this paper, some advice is put forward to improve the web security of ASP. And these analyses and measures are also befitting for other kinds of ASP leak. 　　Key word: ASP; script; encrypt; data-base 　　 　　1 引言 　　现在的SQL注入攻击很严重，各大网站几乎都有被攻击的经历。由于ASP的易学性和普遍性，很多站点都选择了使用ASP语言来共建自己的Web站点。 　　Microsoft Active Server Pages（ASP）是服务器端脚本编写环境，使用它可以创建和运行动态、交互的Web服务器应用程序。微软推出的IS+ASP的解决方案作为一种典型的服务器端网页设计技术，被广泛应用在网上银行、电子商务、聊天室、搜索引擎等各种互联网应用中。ASP是开发网站应用的快速工具，但是有些网站管理员只看到ASP的快速开发能力，却忽视了ASP安全问题。本文试图从开放了ASP服务的操作系统漏洞和ASP程序本身漏洞阐述ASP的安全问题，并给出解决方法或者建议。 　　由于ASP的方便易用，越来越多的网站后台程序都使用ASP脚本语言。但是， 由于ASP本身存在一些安全漏洞，稍不小心就会给黑客提供可乘之机。事实上，安全不仅是网管的事，编程人员也必须在某些安全细节上注意，养成良好的安全习惯，否则会给自己的网站带来巨大的安全隐患。目前，大多数网站上的ASP程序有这样那样的安全漏洞，但如果编写程序的时候注意一点的话，还是可以避免的[1]。 　　ASP语言为脚本级变成语言，是以VB Script或者JAVA Script为基础的，更多的站点选择了VBScript对异常进行的捕捉（Debug）和数据类型的声明要求都相对JAVA Script宽松得多，没有强制要求，这样带来了方便也带来了隐患（由于一些程序员的习惯，在使用VBScript编写ASP程序时常常忽略了对机场的捕捉（Debug）和数据烈性的声明），所以在防止Web注入攻击方面就想的“心有余，而力不足”。 　　2 防止文件被非法下载 　　2.1 避免包含文件被下载 　　在网站设计中，为了便于管理和维护，我们常将程序设计成多个模块，然后用服务器的包含文件命令将各模块包含在某一程序当中[2]。过去许多程序员喜欢将这些文件以*.inc形式命名，但是ASP脚本环境只能解释以特定后缀名的文件，如*.asp，*.asa，*.htm等，对于*.inc的文件，ASP脚本环境无法对其解释，web服务器则将其直接下载到本地浏览器，从而暴露ASP程序的各种重要信息。为避免这种情况发生，我们将*.inc改名为*.asp，这样即使包含文件的地址暴露，浏览者也无法将其源码下载到本地。 　　2.2 避免Access数据库文件被下载 　　用Access数据库结合ASP编制小型Web程序，简单实用，深受广大程序员的喜爱，但是用这种方式编程需将Ac-cess的数据库文件存于ASP程序目录之下，如同上面的第一点所论述的一样，一旦浏览者获知了数据库文件的具体地址，数据库文件将会被浏览者下载到本地，从而暴露大量的重要信息。但是我们如果将Access数据库的文件*.mdb改名为*.asp或*.asa，则即使浏览者获知了数据库文件的具体地址，当浏览者试图下载这些*.asp文件时，浏览者将会碰到访问错误，数据库在浏览器以乱码显示，同时在数据库的连接字符串，我们将相应的*.mdb改为*.asp或*.asa并不会影响程序对数据库的正常访问。 　　2.3 防止下载地址暴露