浅析Asp.Net常见安全漏洞及其解决方案.docVIP

PAGE PAGE 7 论文导读:：目前基于ASP的网站主要安全问题。但是,需要看到使用ASP编制的网站的安全性不容忽视。 论文关键词：网站，安全，ASP.Net，IIS 1、目前基于ASP的网站主要安全问题 ASP具有简单、易学性,用户可以方便的编制出动态网页。但是, 需要看到使用ASP编制的网站的安全性不容忽视。非法用户通过ASP网页的一些漏洞,攻入系统,可以获得合法用户的权限, 或者获得服务器的权限。常见有如下几种攻击方式。 1.1 SQL注入式攻击 很多网站都有用户登录页面，需要验证用户名和密码。当验证时，检查用户输入的登录名和密码是否存在于数据库中，如果存在，证明该用户合法，反之，为不合法用户。例如，在测试中，输入一个已经存在的用户名:administrator，密码输入“1’or‘1’=‘1”IIS，单击登录按钮，非法登录成功。 1.2 查询串式数据传递 查询串式是一种URL 方式，是实现Web 页面间数据传递最基本的方法，操作简单，可以很方便的实现不同Web 页面间的数据传递，但其安全性比较差，其实现方法就是将要传递的数据附在URL后面，如http://localhost//jiaoyu//learning.aspx?username=teacher，其中?后面所跟着的字符串便是传递的数据，可以使用Request对象来获取传递的参数，如Request(username)。 1.3 暴力破解用户名密码 非法用户惯用的手段, 如果知道了某个用户的用户名后。通过暴力手段的形式,不断尝试各种密码,以破解其密码,而登录系统。对于一些简单的密码, 这种方法可行,如果一些复杂的密码,则需要较长的时间。 1.4 绕过验证直接进入ASP 页面的漏洞 如果用户知道了一个ASP 页面的路径和文件，而该文件需要经过验证才能进去，但是用户直接输入这个ASP 页面的文件名，就有可能绕过验证。如在IE 中输入如下代码： http:／／serverURL／search．asp芽page＝1这样就可能看到系统管理员才能看到的页面。为了防止这种情况会在search．asp 的开头加个判断，如判断session（“system＿name”）是否为空，如果不为空时就能进入，这样上面的URL 请求就不能直接地入管理员页面。但这种方法同样也存在漏洞，如果攻击者先用一个合法的账号，或者在本地机上生成一个session，如session（“system＿name”）＝“admin”， 因为session不为空IIS，同样也能绕过验证直接进入管理员页面。 1.5 Access 数据库漏洞 在用Access 做后台数据库时，如果有人通过各种方法知道或者猜到了服务器的Access 数据库的路径和数据 库名称，那么就能够下载这个Access数据库文件，这是非常危险的。例如，Access 数据库student．mdb 放在虚拟目录下的database 目录中，那么在浏览器中输入：http: ／／ serverURL ／database ／ student．mdb如果student．mdb 数据库没有事先加密的话，那么student．mdb 中所有重要的数据都掌握在别人的手中。另一方面，由于Access数据库的加密机制也比较简单，即使设置了密码，解密也很容易。该数据库系统通过将用户输入的密码与某一固定密钥进行“异或”来形成一个加密串，并将其存储在*．mdb 文件从地址“＆H42”开头的区域内论文网站。可以很轻松地编制解密程序，很容易获得任何Access 数据库的密码。因此，数据库如果被解密，那么就很容易对整个网站进行控制了。 2、防范措施 2.1 验证用户输入 网站编程者在编程时, 就应该把安全放在首位。在要求用户输入的地方,或网页传递变量的地方,都要完全验证,以防止SQL注入等的漏洞产生。比如:使用如下方法验证用户是否输入了不符合要求的信息。SQL_injdata=”!|@|#|$|%|^||*|(|)|=”// 在此输入需要验证的非法字符a=slit(SQL_injdata,”|”)input_data=request(“username”)//取得 用户输入的用户名 for i = 0 to ubound(a) if instr(input_data,a(i))0 then response.write(“您输入的用户名还有非法输入！”) response.end() end if next 2.2 禁止用户多次尝试登录 现在有些自动登录程序, 可以重复尝试登录系统。这时,可以限制用户尝试登录系统的次数,比如1小时内只能尝试登录10 次等等。另一种方法是, 网页随机生成数字,用户只有输入这些有效数字,才能有可能登录系统, 这阻断了一些自动登录程序 的干扰。