肖寧　馬曉榮

[摘要] 為增強網(wǎng)站安全從網(wǎng)站設(shè)計者角度探討ASP.NET+SQLSERVER設(shè)計網(wǎng)站時易出現(xiàn)的安全問題并給出相應(yīng)方法。

[關(guān)鍵詞] 網(wǎng)站 安全

隨著B/S應(yīng)用的發(fā)展，更多的程序員用ASP.NET+SQLSERVER開發(fā)網(wǎng)站。ASP.NET是全新的創(chuàng)建動態(tài)web內(nèi)容的服務(wù)器端技術(shù)，SQLSERVER是基于服務(wù)器端的企業(yè)級數(shù)據(jù)庫，用于大容量數(shù)據(jù)和大流量網(wǎng)站，在安全性、效率等方面比Access強大的多。故將SQLSERVER與ASP.NET結(jié)合是目前大中型網(wǎng)站建設(shè)的首選。其伴隨的安全問題也日益被關(guān)注。若在開發(fā)時就對常見安全漏洞有預(yù)見，并預(yù)防，可大大降低構(gòu)建安全網(wǎng)站成本，使網(wǎng)站更有效地應(yīng)對攻擊。

ASP.NET +SQLSERVER常見安全問題

1.數(shù)據(jù)庫泄密

數(shù)據(jù)庫是網(wǎng)站運營的基礎(chǔ)，密碼等重要信息若以明文存于庫，一旦被入侵就可對信息進(jìn)行破壞。

2.繞過注冊頁隱患

用表單交互時內(nèi)容可能會反映到地址欄，若未采取措施，記下這些內(nèi)容就可繞過驗證直接進(jìn)入頁面。如在瀏覽器中敲入“bk.aspx？id=3”，則繞過表單頁直接進(jìn)入“id=3”的bk.aspx頁。

3. SQL注入

4.輸入惡意腳本

5.暴力破解登錄密碼

開發(fā)者在用戶密碼的驗證代碼中未考慮到惡意用戶會暴力破解密碼。

6.文件上傳漏洞

文件上傳可用fileupload控件輕松實現(xiàn)，但若缺少對提交文檔的檢查，網(wǎng)頁木馬或帶病毒的文件就可能被上傳。

ASP.NET+SQLSERVER安全問題對策

1.數(shù)據(jù)庫泄密對策

2.繞過注冊頁對策

3.防SQL注入

4.消除惡意腳本

5.暴力破解密碼對策

增加隨機碼校驗，將它與用戶名密碼組合可增加破解難度；還可設(shè)置最多登錄數(shù)，若超過閥值就可鎖定或跳到指定頁。

6.文件上傳安全對策

本文從開發(fā)者角度指出ASP.NET+SQLSERVER方案中易出現(xiàn)的安全問題并給出對策，對開發(fā)安全網(wǎng)站有較強的指導(dǎo)作用。

參考文獻(xiàn)：

[1]周維霞.基于ASP.NET的網(wǎng)站設(shè)計安全問題研究[J].電腦知識與技術(shù)，2009，5.

[2]李婷.ASP.NET網(wǎng)站中SQL注入攻擊及防范[J].科技資訊，2010，34.

[3]李楊.網(wǎng)站安全漏洞解析[J].四川兵工學(xué)報，2012，33.

作者單位：陜西職業(yè)技術(shù)學(xué)院計算機系 陜西西安