基于ＡＳＰ网站的安全防范.docVIP

基于ＡＳＰ网站的安全防范 　　摘要：随着计算机技术和网络技术的发展， ASP(Active Server Pages)作为一种典型的服务器端网页设计技术， 被广泛地应用在各种互联网应用中。而动态网的安全问题日益突显，安全问题备受关注。该文先分析了ASP动态网存在的安全隐患，然后针对这些安全隐患，提出了相应的安全保护方案，从而为网站的数据安全提供保障。 　　关键词：ASP网站；安全；防范措施 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)33-1342-03 　　 　　Security Countermeasure on Website with ASP 　　HU Sai 　　(Hunan Biological and Electromechanical Polytechnic,Changsha 410127,China) 　　Abstract: Along with the computer technology and networkings development, ASP (Active Server Pages) takes one kind of typical server end homepage design technique, widely is applied in each kind of Internet application. But the dynamic nets security problem underlines day by day, the security problem receives the attention. This article has analyzed the ASP dynamic net existence safe hidden danger first, then in view of these safe hidden dangers, proposed the corresponding safekeeping of security plan, thus provides the safeguard for the website data security. 　　Key words: ASP website; security;countermeasure 　　 　　随着互联网的迅速发展，为了能更好地更充分地使用好互联网这个世界上最大的交流平台，许多单位竞相建设了自己的网站。在Web 数据库访问的多种技术中，ASP以其开发周期短、存取数据库方便、执行效率高而成为众多网站程序员的首选开发技术。ASP是Microsoft公司推出的一种用以取代CGI通用网关接口的技术，英文全称Active Server Pages，动态服务器网页。它是一个Web服务器端的运行环境。ASP本身包含了VBScript 和Javascript引擎，使得脚本可以直接嵌入HTML中。ASP的主要特性是能够把脚本、HTML、组件和强大的Web数据库访问功能结合在一起，形成一个能在服务器上运行的应用程序，并按用户的要求专门制作的HTML页面传送给客户端浏览器。但是，ASP虽然提供了强大的功能和较高的安全性能，不经意间，也有可能由于网站设计者和程序员的疏忽大意，或者由于网站管理员的水平和经验的不足，网站可能随时暴露出许多漏洞，给非法入侵者造成可乘之机，使网站处于风口浪尖，随时有可能受到来自网内网外的各种攻击，给网站带来麻烦，特别是一些与金融有关的网站，不仅拥有网站的企业遭受损失，甚至连累到客户也遭到严重的经济损失。所以说，ASP动态网站的安全问题是个值得网站设计者和管理者重视的问题。 　　 　　1 存在的安全隐患 　　1.1 账号和密码的隐患 　　账号和密码是网站的第二道安全防线。入侵者一旦得到后台登录界面，他就要想法设法获得超级用户的账号和密码。由于网站管理员疏忽或技术水平不过关，账号和密码也有泄露的可能。账号和密码一旦被入侵者窃取，网站就完全被入侵者控制。 　　1.2 Access库文件的隐患 　　1.2.1 Access 数据库访问密码的隐患 　　账户和密码泄露的原因除了网站管理员保管不力外，很大程度与Access库文件有关。由于Access数据库的加密机制非常简单，即使数据库设置了密码，解密也很容易。该数据库系统通过将用户输入的密码与某一固定密钥进行异或来形成一个加密串，并将其存储在3.mdb 文件从地址“H42”开始的区域内。由于异或操作的特点是经过2次异或就能恢复原值，因此，用这一密钥与3. mdb 文件从地址“H42”开始区域内的加密串进行第2次异或操作，可以轻松地得到任何Access 数据库的密码。