ASP页面安全技术相关研究.docVIP

ASP页面安全技术有关研究 a rel=nofollow onclick=doyoo.util.openChat();return false; href=# 摘 要:在高速发展的信息时代 ,Internet 上 Web 站点已经成为主要的信息共享、沟通的手段 ,。而怎样保障 Web 站点的安全 成为目前广泛关注的焦点。本文对鉴于Asp 的站点安全系统 中的页面安全进行了商讨。本文论述了 asp 安全中的常有页 面代码问题 ,如考证被绕过、 用户名与口令被破解、 特别字符破绽、文件泄漏、数据库下载破绽、 SQL注入破绽、 ASP木马等七个方面 ,并对每个方面的问题进行了解析 ,并提出确实可行的防备技巧与方案。 要点词 :asp;web 安全 ;页面安全 ;网络安全 跟着经济全世界化的发展 ,商家、政府、以致个人都踊跃地追求在 Internet 上公布信息 ,供给网上管理和服务 ,进而使网 页设计和网站建设成为一种热点行业。 作为微软推出的网页与数据库解决方案 ,ASP因为有微软 得天独厚的操作系统等技术后援支持 ,所以获得了快速的发 展,并且正遇到愈来愈多的欢迎。 ASP拥有简单、易用、多功 能,可扩大性等强盛功能。可是 ,使用 ASP技术制作的站点的安全性问题向来都是 Web 站点安全问题的重要构成部分。 Web 服务的安全主要能够分为自己安全、 数据安全及页 面安全等三个方面。自己安全问题主要表此刻操作系统、 IIS 服务系统、数据系统等系统的先本性缺点 ;数据安全问题主要 与数据的设计与组织存在重要关系 ;页面安全问题主要由页 面代码产生。 本文要点议论的就是 ASP页面代码设计安全问题。实践 表示 ,页面安全问题更多的是因为设计者在设计时不谨慎产 生的 ,假如编写代码的时候多注意 ,是能够防止的。 考证被绕过 假如用户知道了一个 ASP页面的路径和文件名 ,而这个 文件又是要经过考证才能进去的 ,可是用户直接输入这个 ASP 页面的文件名 ,就有可能经过绕过考证。比如 ,使用 IP 为 1 这台服务器 ,使用 login.asp 进入登录界面 ,经过 checkadmin.asp 来考证用户和密码 ,假如用户和密码正确 ,就 转入 main.asp 进行后台操作。 这时 ,假如将所有的关卡都放在 checkadmin.asp,而对 main.asp 页面没有布防 ,则攻击者只需直 接在地点栏输入即可绕过考证。 所以我们应当在所有需要考证的 asp 页面的开头处进行相应办理。比方 :判断 session()并且追踪上一个页面的文件名 , 只有从上一页面转进来的会话才能读取这个页面。 用户名与口令被破解 即便所有需要考证的 asp页面都进行了相应的办理 ,可是 考证页面上的密码考证破绽仍旧可能使你的考证形同虚设 , 而这其实是 VB SCRIPT中的一个小小的天然缺点所造成的。 一般我们都是将用户名和密码放在数据库中 ,在考证的 时候采纳以下的 sql 语句 : Set sql=select * from users where username=request(name)and password=request(password), 这此中双引号是给 VB 解说的 ,单引号是给 SQL解说的 ,即单引号括住的数据将被 SQL视为字符串。若是我们在文本框中输入这样的用户名和 密码 :jackor1=l 提交给程序。我们再看经过编译后的程 序,SQL判断就成了 select * from users where username=jackor1=1 and password=jackor1=1;OR 是逻辑运算符 ,作用是在判断两个条件的时候 ,只需此中一个条件建立 ,等式将会建立。 而 l 一定是等于 1 的,那么在这行语句中 , 原语句的 and 考证将不再持续 ,而因为 1=1 和 or 令语句返回为真值。这将骗过考证 ,持续当考证为真时的操作。 解决的方法好多 ,比较简单的是使用 replace 函数替代字 符的方法来障蔽掉单引号和空格。也能够特意用一个文件来 障蔽掉所有可疑的特别字符 ;或许对用户名和密码进行加密 换算。目前我们使用比较宽泛的是 MD5 加密算法 ,用其对用 户的用户名和密码进行 MD5 加密 ,每次考证前先进行换算 ,将 换算后的结果取出来比较。考证时能够使用以下 SQL语句 : select * from users where user=md5(trim(request.form(username)))and password=md5(trim(request.form(username))) 。 别的 ,波及用户名与口令的程序最好封装在服务器端 ,尽量少在 ASP文件里出现 ,波及与