摘要:ASP技術(shù)在網(wǎng)頁(yè)制作中的廣泛使用，使得人們忽視了它的一些安全問(wèn)題。該文提出了ASP在使用中會(huì)遇到的一些安全問(wèn)題，也給出了解決方案。

關(guān)鍵詞:ASP;漏洞;防護(hù)措施

中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2009)15-3909-02

ASP Technology to Enable More Secure

WANG Qiu-yi

(Modern Education Technology CenterAnhui University of Finance and Economics，Bengbu 233000 ，China)

Abstract: ASP technology in the production of a wide range of website use， led to the neglect of some of its security problems. In this paper， the ASP will be encountered in the use of a number of security issues， but also gives the solution.

Key words: ASP; Loophole; Protective measures

在互聯(lián)網(wǎng)高速發(fā)展的今天，網(wǎng)頁(yè)制作已經(jīng)成為一個(gè)新型的課題。從早期的靜態(tài)網(wǎng)頁(yè)到后來(lái)的動(dòng)態(tài)網(wǎng)頁(yè)，網(wǎng)頁(yè)制作的技術(shù)已經(jīng)發(fā)展到一個(gè)很高的層次，這些動(dòng)態(tài)網(wǎng)頁(yè)的出現(xiàn)使得WEB頁(yè)面可以方便地傳播動(dòng)態(tài)信息。在目前，比較流行的有ASP、PHP和JSP程序設(shè)計(jì)語(yǔ)言所編輯的動(dòng)態(tài)頁(yè)面。從總的方面來(lái)說(shuō)，ASP、PHP和JSP基本上都是把腳本語(yǔ)言嵌入HTML文檔中，它們最主要的優(yōu)點(diǎn)是:ASP學(xué)習(xí)簡(jiǎn)單，使用方便;PHP軟件免費(fèi)，運(yùn)行成本低;JSP多平臺(tái)支持，轉(zhuǎn)換方便。在目前的大多數(shù)的網(wǎng)站建設(shè)中用的最多的還是ASP技術(shù)，ASP(Active Server Pages)是一種由微軟開(kāi)發(fā)的免編譯的服務(wù)器端腳本環(huán)境。它將HTML頁(yè)面，Scripts語(yǔ)言和動(dòng)態(tài)服務(wù)器擴(kuò)展結(jié)合在一起，可以建立動(dòng)態(tài)，交互且高效的WEB服務(wù)器應(yīng)用程序。

1 ASP的特點(diǎn)

使用VBScript、javaScript等簡(jiǎn)單易懂的腳本語(yǔ)言，結(jié)合HTML代碼，即可快速地完成網(wǎng)站的應(yīng)用程序。

無(wú)須編譯，可以直接解釋執(zhí)行。

使用普通的文本編輯器即可進(jìn)行頁(yè)面的編輯與設(shè)計(jì)。

獨(dú)立瀏覽器，用戶端只要使用可執(zhí)行HTML代碼的瀏覽器，即可瀏覽ASP所設(shè)計(jì)的網(wǎng)頁(yè)內(nèi)容。

ASP能與任何ActiveX Scripting語(yǔ)言相容。

源程序不會(huì)外漏，ASP腳本是在服務(wù)器上執(zhí)行，不會(huì)被傳到客戶瀏覽器，因而可以避免所寫(xiě)的源程序被他人剽竊，也提高了程序的安全性。

面向?qū)ο?。ActiveX Server Components具有無(wú)限可擴(kuò)充性。

2 ASP的工作原理

1) 用戶向?yàn)g覽器地址欄輸入網(wǎng)址，默認(rèn)頁(yè)面的擴(kuò)展名是.asp。

2) 瀏覽器向服務(wù)器發(fā)出請(qǐng)求。

3) 服務(wù)器引擎開(kāi)始運(yùn)行ASP程序。

4) ASP文件按照從上到下的順序開(kāi)始處理，執(zhí)行腳本命令，執(zhí)行HTML頁(yè)面內(nèi)容。

5) 頁(yè)面信息發(fā)送到瀏覽器。

3 ASP技術(shù)在網(wǎng)頁(yè)中的安全隱患和防護(hù)措施

3.1 SQL注入式攻擊

SQL注入就是客戶端提交特殊的代碼，從而收集程序及服務(wù)器的信息，獲取想得到的資料。由于ASP程序員在編寫(xiě)程序時(shí)不規(guī)范，代碼存在漏洞，動(dòng)態(tài)生成sq1命令時(shí)沒(méi)有對(duì)用戶輸人的數(shù)據(jù)進(jìn)行驗(yàn)證而受到攻擊。例如，在測(cè)試中，輸入一個(gè)已經(jīng)存在的用戶名:administrator，密碼輸人“1’or‘1’ =‘1”，單擊登錄按鈕，非法登錄成功。

防范措施:

只有用戶名和密碼完全正確才能通過(guò)驗(yàn)證。另外，編寫(xiě)代碼時(shí)在處理類似留言板、論壇等輸人框的ASP程序中，最好屏蔽掉HTML、Javasc印t、vBScriPt語(yǔ)句，并且要對(duì)輸人的字符進(jìn)行限制，特別是一些特殊字符，比如單引號(hào)、雙引號(hào)、分號(hào)、逗號(hào)、冒號(hào)、連接號(hào)等進(jìn)行轉(zhuǎn)換或者過(guò)濾，同時(shí)也應(yīng)對(duì)輸人的字符長(zhǎng)度進(jìn)行限制。而且要在客戶端進(jìn)行輸人合法性檢查，同時(shí)要在服務(wù)器端程序中進(jìn)行類似檢查。

還有一種方法就是先查詢用戶名，再進(jìn)行密碼驗(yàn)證，將這一段驗(yàn)證代碼

SqlConnection MyConnection=new SqlConnection

(ConnectionString);

Strsql =\"Select * from用戶帳號(hào)where

name='\"+strUserName+\"'and password='\"+strPassword+\"'\";

SqlCommand MyCommand=new SqlCommand(strsql，MyConnection);

MyConnection.Open();

SqlDataReader MyReader=MyCommand.ExecuteReader();

if(MyReader.Read())

{

登 錄 成 功

}

分成兩部分執(zhí)行，即

Strsql =\"Select* from用戶帳號(hào)where name='\"+strUserName+\"';

SqlDataReader MyReader=MyCommand.ExecuteReader();

While(MyReader.Read())

{

if ( MyReader[\"password\"]==strpassword)

{

登 錄 成 功

}

3.2 木馬漏洞

入侵者一般是通過(guò)ASP程序上傳功能的漏洞進(jìn)人后臺(tái)上傳ASP木馬程序。當(dāng)木馬一旦上傳上去就有可能取得網(wǎng)站的管理權(quán)限，修改或刪除文件、數(shù)據(jù)庫(kù)，篡改網(wǎng)站的主頁(yè)。因此ASP木馬的防范也尤為重要。

防范措施 :

1) 建議用戶通過(guò)ftp來(lái)上傳、維護(hù)網(wǎng)頁(yè)，盡量不安裝ASP的上傳程序。

2) 對(duì)ASP上傳程序的調(diào)用一定要進(jìn)行身份認(rèn)證，并只允許信任的人使用上傳程序。

3) 上傳文件時(shí)，要限制文件的擴(kuò)展名。比如:上傳圖片文件時(shí)，設(shè)置為只能上傳擴(kuò)展名.jpg或者.gif的文件，拒絕上傳擴(kuò)展名為.asp 或.exe的文件。

4) 到正規(guī)網(wǎng)站下載ASP程序，下載后要對(duì)其數(shù)據(jù)庫(kù)名稱和存放路徑進(jìn)行修改，數(shù)據(jù)庫(kù)文件名稱也要有一定復(fù)雜性。

5) 日常要多維護(hù)，經(jīng)常查看在文件夾里有沒(méi)有不正常的*.asp或*.exe文件，特別是放置上傳文件的文件夾內(nèi)，數(shù)據(jù)庫(kù)中有沒(méi)有陌生的數(shù)據(jù)表。一旦發(fā)現(xiàn)被入侵，立即刪除文件。

6) 要經(jīng)常備份數(shù)據(jù)庫(kù)、網(wǎng)頁(yè)等重要文件，一旦被木馬破壞，能及時(shí)還原，減少損失。

7) 網(wǎng)站的后臺(tái)也是非常關(guān)鍵的。不要在頁(yè)面上作后臺(tái)的地址鏈接，這樣后臺(tái)地址不容易被猜解。網(wǎng)站后臺(tái)的管理賬號(hào)密碼不應(yīng)過(guò)于簡(jiǎn)單，并且要使用附加碼。

3.3 登陸頁(yè)面被繞過(guò)

在程序開(kāi)發(fā)過(guò)程中，要編寫(xiě)ASP代碼設(shè)置權(quán)限驗(yàn)證，像一些機(jī)密信息或內(nèi)容信息的網(wǎng)頁(yè)，是對(duì)內(nèi)部人員或者網(wǎng)站管理人員開(kāi)放的。在留言板系統(tǒng)中，普通的用戶只能發(fā)表和查看留言，只有管理員才能刪除或修改一些留言，所以在要進(jìn)入這些頁(yè)面，都要經(jīng)過(guò)一個(gè)身份驗(yàn)證，沒(méi)有合法身份的用戶是不得進(jìn)入的。但對(duì)于安全性不強(qiáng)的系統(tǒng)，用戶在知道相關(guān)葉面目錄的情況下，直接在地址欄中輸人URI路徑，就可以進(jìn)人頁(yè)面。那樣的話，用戶驗(yàn)證就只成了擺設(shè)。

防范措施:

為了避免這類情況發(fā)生，應(yīng)該把后臺(tái)登錄頁(yè)面與后臺(tái)管理頁(yè)面進(jìn)行綁定，只要通過(guò)了后臺(tái)登錄頁(yè)面的合法身份驗(yàn)證的用戶才能進(jìn)入后臺(tái)管理頁(yè)面，其他方式的進(jìn)入一概是不允許的。程序員在編程時(shí)能考慮到這點(diǎn)的話，入侵者就無(wú)法繞過(guò)用戶驗(yàn)證了。

3.4 Access數(shù)據(jù)庫(kù)下在漏洞

在采用ASP+Access技術(shù)建設(shè)的網(wǎng)站中，如果有人通過(guò)各種方法獲得或者猜到數(shù)據(jù)庫(kù)的存儲(chǔ)路徑和文件名，則該數(shù)據(jù)庫(kù)就可以被下載到本地。例如:對(duì)于校園網(wǎng)新聞數(shù)據(jù)庫(kù)，一般命名為news.mdb、xinwen .mdb等。存儲(chǔ)路徑一般為“URL/database”或放在根目錄“URL”下。這樣，只要敲人地址:“URL/database/news.mdb”，數(shù)據(jù)庫(kù)就可以被下載。

防范措施:

1) 非常規(guī)命名法。為Access數(shù)據(jù)庫(kù)文件起個(gè)復(fù)雜的非常規(guī)的名字，并把它放在幾層目錄下。所謂“非常規(guī)”，打個(gè)比方說(shuō)，比如有

個(gè)數(shù)據(jù)庫(kù)要保存的是有關(guān)書(shū)籍的信息，可不要給它起個(gè)“book.mdb”的名字，而要起個(gè)非常規(guī)的名稱，比如faklh945ioagah.mdb，并把它放在如:/hdye92/89hjg/hgdggdkl/的幾層目錄下。也可以將 Access數(shù)據(jù)庫(kù)的文件*.mdb改名為*.asp或*.asa，即使瀏覽者獲知了數(shù)據(jù)庫(kù)文件的具體地址，當(dāng)瀏覽者試圖下載這些*.asp文件時(shí)，瀏覽者將會(huì)碰到訪問(wèn)錯(cuò)誤，數(shù)據(jù)庫(kù)在瀏覽器以亂碼顯示，同時(shí)在數(shù)據(jù)庫(kù)的連接字符串，我們將相應(yīng)的氣mdb改為*.asp或*.asa 也不會(huì)影響程序?qū)?shù)據(jù)庫(kù)的正常訪問(wèn)。這樣黑客要想通過(guò)猜的方式得到你的Access數(shù)據(jù)庫(kù)文件就難上加難了。

2) 使用ODBC數(shù)據(jù)源。在ASP程序設(shè)計(jì)中，不要把數(shù)據(jù)庫(kù)名寫(xiě)在程序中，比如:conn.ConnectionString=”P(pán)rovider=-Microsoft.Jet.OLEDB.4.0;””Data Source=”Server.MapPath(”book.mdb”)、就算文件名起的再?gòu)?fù)雜，一旦被人拿到了源程序，數(shù)據(jù)庫(kù)就會(huì)很容易被下載下來(lái)。如果使用ODBC數(shù)據(jù)源就可以避免這樣的問(wèn)題發(fā)生了。在程序中這樣寫(xiě):Conn.open”O(jiān)DBC-DSN名”，就無(wú)法從源代碼中看到數(shù)據(jù)庫(kù)的名字和存放路徑了。

3) 使用Access來(lái)為數(shù)據(jù)庫(kù)文件編碼及加密。首先在“工具→安全→加密/解密數(shù)據(jù)庫(kù)”中選取數(shù)據(jù)庫(kù)(如:book.mdb)，然后按確定，接著會(huì)出現(xiàn)“數(shù)據(jù)庫(kù)加密后另存為”的窗口，可存為:“bookl.mdb”。要注意的是，以上的動(dòng)作并不足對(duì)數(shù)據(jù)庫(kù)設(shè)置密碼，而只足對(duì)數(shù)據(jù)庫(kù)文件加以編碼，目的是為了防止他人使用別的工具來(lái)查看數(shù)據(jù)庫(kù)文件的內(nèi)容。接下來(lái)我們?yōu)閿?shù)據(jù)庫(kù)加密，首先打開(kāi)經(jīng)過(guò)編碼了的bookl.mdb，在打開(kāi)時(shí)，選擇“獨(dú)占”方式。然后選取功能表的“工具→安全→設(shè)置數(shù)據(jù)庫(kù)密碼”，接著輸入密碼即可。這樣即使他人得到了bookl.mdb文件，沒(méi)有密碼他也是無(wú)法看到bookl.mdb中的內(nèi)容。

3.5 Access數(shù)據(jù)庫(kù)被解密

由于很多開(kāi)發(fā)者使用數(shù)據(jù)庫(kù)時(shí)，采用系統(tǒng)自帶的加密方法，特別是access數(shù)據(jù)庫(kù)的加密機(jī)制比較簡(jiǎn)單，解密起來(lái)也很容易，這就給數(shù)據(jù)庫(kù)的安全帶來(lái)很大的隱患。

防范措施:

為確保數(shù)據(jù)庫(kù)的完整，免遭破壞、泄密和竊取，主要采用數(shù)據(jù)備份、用戶標(biāo)識(shí)和鑒定、存取控制、數(shù)據(jù)庫(kù)的加密(如RAS密碼或md5加密技術(shù))，同時(shí)利用DBMS(數(shù)據(jù)庫(kù)管理系統(tǒng))所提供的各種安全措施，在應(yīng)用軟件卜增加對(duì)數(shù)據(jù)的操作安全、對(duì)算法進(jìn)行加密操作等。

4 總結(jié)

本文分析了ASP服務(wù)器端腳本編寫(xiě)環(huán)境存在的一些安全方面的漏洞和幾種常見(jiàn)的保護(hù)方法。網(wǎng)站安全是一個(gè)較為復(fù)雜的問(wèn)題，完全的安全的網(wǎng)絡(luò)系統(tǒng)是不存在的，我們只有通過(guò)不斷的改進(jìn)程序，將各種可能出現(xiàn)的問(wèn)題考慮周全，養(yǎng)成良好的安全的習(xí)慣，盡量避免留下一些安全漏洞，對(duì)潛在的異常悄況進(jìn)行處理，才能減少被黑客入侵的機(jī)會(huì)。

參考文獻(xiàn):

[1] 齊建玲，郭鐵柱，劉博濤，等 . 網(wǎng)頁(yè)設(shè)計(jì)與制作實(shí)用技術(shù)[M]. 北京:中國(guó)水利水電出版社，2005.

[2] 周新會(huì)，傅立宏. ASP通用模塊及典型系統(tǒng)開(kāi)發(fā)[M]. 北京:人民郵電出版社，2006.

[3] 潘飛，王繼承 趙裕國(guó)，劉占文. ASP網(wǎng)站安全問(wèn)題的研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008，6:80-81.

[4] 朱杰. 構(gòu)建ASP網(wǎng)站的安全性分析[J].科教文匯，2007，5:192.

[5] 郜亞麗，許偉超. 基于ASP網(wǎng)站的安全漏洞及防護(hù)策略研究[J].河南廣播電視大學(xué)學(xué)報(bào)，2007，20(4):112-13.

[6] 徐秀軍，劉磊. 基于ASP開(kāi)發(fā)的網(wǎng)站安全淺析[J].科技信息，2008，8:51.

[7] 丁亞濤. ASP構(gòu)建動(dòng)態(tài)網(wǎng)站的通用方法[J].安慶師范學(xué)院學(xué)報(bào)(自然科學(xué)報(bào))，2006，12(4):22-24.

[8] 劉好增，張坤. ASP動(dòng)態(tài)網(wǎng)站開(kāi)發(fā)實(shí)踐教程[M].北京:清華大學(xué)出版社，2006.