摘要：介紹利用ASP開發(fā)動態(tài)網(wǎng)站時存在的常見漏洞，比如用戶密碼漏洞、數(shù)據(jù)庫下載漏洞、非法文件上傳漏洞等，淺析漏洞產(chǎn)生的原因并給出了解決辦法。

關(guān)鍵詞：ASP漏洞；入侵防范；網(wǎng)站安全

1 用戶名與口令被破解

1.1 攻擊原理

用戶名與口令，黑客們往往可以通過啊D、明小子等軟件暴力破解。特別要記住限制萬能密碼('or'='or')的使用。

1.2 防范技巧

涉及用戶名與口令的程序最好封裝在服務(wù)器端，盡量少在ASP文件里出現(xiàn)， 涉及與數(shù)據(jù)庫連接的用戶名與口令應(yīng)給予最小的權(quán)限。只給它存儲的權(quán)限，千萬不要直接給予該用戶修改、插入、刪除記錄的權(quán)限。再則，為了防止萬能密碼的使用，我們需加入以下代碼：

2 代碼不夠嚴(yán)格

2.1 攻擊原理

將出現(xiàn)如下這些情況：

(1) 直接上傳asp、asa、jsp、cer、php、aspx、htr、cdx之類的木馬，拿到shell。

(2) 在上傳時在后綴后面加空格或者加幾個點(diǎn)，例如：*.asp ，*.asp..。

(3) 利用雙重擴(kuò)展名上傳，例如：*.jpg.asa格式(也可以配上第二點(diǎn)一起利用)。

(4) gif文件頭欺騙，gif89a文件頭檢測是指程序?yàn)榱怂藢sp等文件后綴改為gif后上傳，讀取gif文件頭，檢測是否有g(shù)if87a或gif89a標(biāo)記，是就允許上傳，不是就說明不是gif文件。而欺騙剛好是利用檢測這兩個標(biāo)記，只要在木馬代碼前加gif87a就能騙過去。

2.2 防范技巧

如果你的網(wǎng)站支持文件上傳，要特別注意asp網(wǎng)站上傳代碼的分析以防上傳文件的擴(kuò)展名過濾不嚴(yán)。一定要設(shè)定好你要上傳的文件格式。最好在上傳程序里做一次驗(yàn)證，那么你的上傳程序安全性將會大大提高。如下代碼只允許上傳gif、jpg、jpeg、bmp、png、doc、txt、swf的文件。代碼如下：

'聲明文件類型

Dim filesext

filesext=\"gif，jpg，jpeg，bmp，png，doc，txt，swf\"

If Request.QueryString(\"action\")=\"Upload\" Then Server.ScriptTimeOut=999999

'判斷文件類型是否合格

Private Function CheckFileExt (fileEXT)

dim Forumupload

Forumupload=split(filesext，\"，\")

for i=0 to ubound(Forumupload)

if lcase(fileEXT)=lcase(trim(Forumupload(i))) then CheckFileExt=true

exit Function

else CheckFileExt=1

end if

next

End Function

綜上所述，我們認(rèn)識到asp網(wǎng)站存在著一些基本漏洞，這些漏洞通過我們的學(xué)習(xí)是可以避免的。此外，我們還一定要清醒認(rèn)識網(wǎng)絡(luò)的脆弱性和信息安全的潛在威脅，對于網(wǎng)站的服務(wù)器要積極采取有力的安全管理和策略，這些對于網(wǎng)站的正常運(yùn)行是非常有必要的。

——————————

參考文獻(xiàn)

[1]龍馬工作室.asp+access網(wǎng)站開發(fā)實(shí)例精講[M].北京:人民郵電出版社，2007.2.

2007年福建省大學(xué)生創(chuàng)新性實(shí)驗(yàn)項(xiàng)目，課題名稱：網(wǎng)絡(luò)攻防技術(shù)的研究與實(shí)踐。