孫嘉潞

摘要；在分析ASP技術(shù)及其主要的技術(shù)特點(diǎn)基礎(chǔ)上，探討了ASP漏洞產(chǎn)生的典型原因及黑客入侵的關(guān)鍵防范技術(shù)措施。同時(shí)，從ASP站點(diǎn)遭受木馬攻擊的應(yīng)對(duì)以及Session入侵防范兩個(gè)方面分析了ASP網(wǎng)站漏洞的相關(guān)防范技術(shù)方法，形成了相對(duì)完善的黑客入侵防范技術(shù)體系。

關(guān)鍵詞：ASP；漏洞；黑客防范

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）07-0051-02

在當(dāng)前Internet與Intranet技術(shù)快速發(fā)展以及廣泛應(yīng)用的基礎(chǔ)上，ASP技術(shù)作為Windows環(huán)境下首選的網(wǎng)站開發(fā)與編程技術(shù)，其已經(jīng)受到相關(guān)技術(shù)人員的重視。雖然ASP技術(shù)具有諸多的優(yōu)點(diǎn)，但是其在實(shí)際的開發(fā)應(yīng)用過程中一直受到漏洞較多的影響，導(dǎo)致構(gòu)建的網(wǎng)頁存在一定的安全隱患。所以，有必要分析導(dǎo)致ASP網(wǎng)絡(luò)安全漏洞的主要原因，并提出對(duì)應(yīng)的安全技術(shù)措施，保證網(wǎng)頁的安全性，避免給黑客留下可乘之機(jī)。

1ASP技術(shù)及其技術(shù)特點(diǎn)

1.1ASP技術(shù)的定義

ASP即為Active Server Pages，其中文意思就是“動(dòng)態(tài)服務(wù)器頁面”。ASP時(shí)替代CGI腳本程序而開發(fā)的一種編程應(yīng)用程序，其可以將數(shù)據(jù)庫和其他的程序相互的交替使用，逐步發(fā)展成為了當(dāng)前廣泛應(yīng)用的一種簡(jiǎn)單。便捷的編程工具。與其他的編程工具相比，ASP具有簡(jiǎn)單易學(xué)，而且由于其是微軟公司開發(fā)，能夠與Windows系統(tǒng)良好兼容，具有良好的軟件生態(tài)環(huán)境，因此其得到了廣泛的應(yīng)用。但是，其也存在一定的問題，就是其缺陷和漏洞較多，導(dǎo)致其在實(shí)際的應(yīng)用過程中存在較大的安全隱患，需要在編程過程中予以關(guān)注，以保證網(wǎng)站的安全穩(wěn)定。

1.2ASP技術(shù)的主要特點(diǎn)

ASP技術(shù)的主要特點(diǎn)包括這樣三個(gè)方面：其一，服務(wù)器上的ASP通過其解釋程序?qū)崿F(xiàn)對(duì)服務(wù)器端ASP程序的執(zhí)行，使得其產(chǎn)生的結(jié)果可以HTML的格式向客戶端的瀏覽器發(fā)送過去，是得所有的終端瀏覽器都能夠從ASP獲得數(shù)據(jù)，實(shí)現(xiàn)瀏覽器功能；其二，由于ASP在實(shí)現(xiàn)該功能時(shí)是通過執(zhí)行服務(wù)器中的相關(guān)命令而實(shí)現(xiàn)的，然后通過將ASP產(chǎn)生的結(jié)果以HITML格式傳遞至瀏覽器當(dāng)中，因此應(yīng)用者并不能夠觀察得到應(yīng)用ASP編寫的原始代碼程序，能夠有效避免代碼被不法人員竊?。黄淙?，ACCESS與SQL數(shù)據(jù)庫之間能夠進(jìn)行快捷的數(shù)據(jù)連接，這使得ASP網(wǎng)頁的響應(yīng)速度較快，提高了系統(tǒng)的使用體驗(yàn)。

2ASP漏洞產(chǎn)生的關(guān)鍵原因及黑客入侵防范措施

2.1ASP漏洞產(chǎn)生關(guān)鍵原因

在設(shè)計(jì)網(wǎng)站過程中，為了能夠?qū)Y源進(jìn)行充分利用，一臺(tái)服務(wù)器上通常設(shè)置了多個(gè)網(wǎng)站。而所有的網(wǎng)站都是由管理人員自主開發(fā)設(shè)計(jì)的，其代碼的安全性與管理員自身的開發(fā)水平直接相關(guān)。有的則是直接購買的商用軟件，與自主開發(fā)的軟件相比，其安全性較佳，而且補(bǔ)丁更新也更快。部分則是在網(wǎng)上直接下載免費(fèi)版本，導(dǎo)致網(wǎng)站代碼的安全性差，甚至下載的軟件被人植入了后門。這些因素使得網(wǎng)站的代碼來源極為復(fù)雜，使得開發(fā)人員的水平成為了影響站點(diǎn)安全性的主要因素。因此，想要從外部預(yù)防所有存在的代碼漏洞基本不可能，而只能夠內(nèi)部加以考慮。這時(shí)，若黑客進(jìn)入網(wǎng)站，并在其中植入木馬，如何才能將其破壞力降至最低？

在實(shí)際的應(yīng)用過程中，一般使用設(shè)置權(quán)限的方式來達(dá)到該目的。所謂計(jì)算機(jī)操作系統(tǒng)權(quán)限是指不同的用戶賬戶對(duì)不同類型的文件、文件夾以及注冊(cè)表的訪問能力是不同，通過設(shè)置不同類型的用戶群體減少出現(xiàn)風(fēng)險(xiǎn)的概率。例如，一個(gè)系統(tǒng)默認(rèn)的匿名賬戶為IUSR，其是在Users用戶組中構(gòu)建的賬號(hào)，通常情況下，服務(wù)器上網(wǎng)站的身份均為IUSR。當(dāng)其中的網(wǎng)站遭到黑客入侵之后，受到Users權(quán)限組的限制，能夠?qū)⑵淦茐南拗圃谳^小的區(qū)間范圍中。

2.2ASP網(wǎng)站黑客入侵防范措施分析

2.2.1新建賬戶殛指定網(wǎng)站的啟動(dòng)賬戶

任何一個(gè)網(wǎng)站都與一個(gè)啟動(dòng)賬戶相對(duì)應(yīng)，在后期的維護(hù)和管理過程中，需要對(duì)這些賬戶進(jìn)行統(tǒng)一的權(quán)限操作和管理，在賬戶構(gòu)建過程中，若采取對(duì)注冊(cè)表訪問權(quán)限進(jìn)行設(shè)置的方式，還需要采取新建用戶組的方式，例如重新構(gòu)建IIS_guests用戶組，將同類型的所有賬號(hào)都加入其中。具體的操作為：在IIS管理器當(dāng)中添加網(wǎng)站，在彈出的選項(xiàng)卡當(dāng)中點(diǎn)擊“傳遞身份證驗(yàn)證”中的“連接為”按鈕，然后選擇對(duì)應(yīng)的用戶，確認(rèn)設(shè)置，并將構(gòu)建的用戶名及對(duì)應(yīng)的密碼輸入，確定即可。在建站完成之后，系統(tǒng)將給每一個(gè)站點(diǎn)都自動(dòng)的構(gòu)建一個(gè)相應(yīng)的應(yīng)用程序池，其具體的運(yùn)行身份即為之初構(gòu)建的賬戶，即每個(gè)應(yīng)用程序池都與一個(gè)IIS工作進(jìn)程相對(duì)應(yīng)，每一個(gè)在任務(wù)管理器中的網(wǎng)站就對(duì)應(yīng)一個(gè)進(jìn)程。通常，在一個(gè)ASP網(wǎng)站中，就完成了一個(gè)網(wǎng)站啟動(dòng)賬戶的設(shè)置。通過完成后續(xù)操作，就能夠完成所有的站點(diǎn)安全構(gòu)建；

1）如果ASP站點(diǎn)的開發(fā)是在非.Net4.0框架下進(jìn)行的，則需要將所有應(yīng)用程序池的托管模式從之前默認(rèn)的“集成”修改成為“經(jīng)典”的模式；2）將網(wǎng)站中的IIS設(shè)置項(xiàng)的“ASP.NET模擬”選項(xiàng)設(shè)置為啟動(dòng)；3）最后，需要設(shè)置對(duì)應(yīng)的，賬戶讀寫權(quán)限，完成啟動(dòng)賬戶的設(shè)置，使用如下代碼實(shí)現(xiàn)：“C：＼Windows＼Microsoft.NET＼Framework＼v2.0.50727＼Temporary ASP.NET Files”。

2.2.2設(shè)置文件和文件夾的訪問權(quán)限

新建的賬戶通常都是authenticated users用戶組，而authenticated users又是Users用戶組，所以及時(shí)將新建的用戶從Users用戶組當(dāng)中刪除，該賬戶依然具有在Users組中的所有權(quán)限。因此，為了更進(jìn)一步的避免黑客入侵該網(wǎng)站對(duì)網(wǎng)站服務(wù)器中的相關(guān)文件造成破壞，還需要對(duì)文件和文件夾的訪問權(quán)限進(jìn)行對(duì)應(yīng)的設(shè)置：其一，將系統(tǒng)中所有盤符根權(quán)限中的Users用戶組以及everyone用戶組的權(quán)限都刪除，以免由于指定網(wǎng)站的啟動(dòng)賬戶默認(rèn)具有Users用戶組的相關(guān)權(quán)限，使得黑客不能夠看到服務(wù)器中盤符下的相關(guān)文件；其二，將所有存放網(wǎng)站目錄的Users用戶組權(quán)限刪除，并將相應(yīng)的啟動(dòng)賬戶讀取程序添加至其中，通過這種方式使得只有啟動(dòng)賬戶才能夠訪問該站點(diǎn)中的相關(guān)文件；其三，針對(duì)access數(shù)據(jù)庫文件以及能上傳文件的文件夾添加相應(yīng)的啟動(dòng)賬戶讀寫權(quán)限，保證用戶登錄網(wǎng)站時(shí)的安全性。

2.2.3對(duì)網(wǎng)站腳本執(zhí)行與注冊(cè)表訪問權(quán)限進(jìn)行對(duì)應(yīng)的限制

大部分的網(wǎng)站都具有文件和圖片的上傳功能，而這些功能往往會(huì)成為黑客侵入網(wǎng)站，并在其中植入木馬的重要渠道。因?yàn)槭艿綑?quán)限設(shè)置的影響，除了上傳目錄之外，其他的目錄通常是不可寫的，黑客一般只可以將木馬寫入到上傳目錄中。因此，通過關(guān)閉上傳目錄中的腳本執(zhí)行功能，能夠一定程度的減少黑客侵入的概率。通常，關(guān)閉方法包括：在IIS管理器當(dāng)中，確定某網(wǎng)站的上傳文件夾，打開其“處理程序映射”的功能選項(xiàng)，然后選擇右側(cè)操作子欄中的“編輯功能權(quán)限”項(xiàng)目，反選“腳本”選項(xiàng)，使得上傳目錄中的腳本不能夠執(zhí)行即可。

遠(yuǎn)程桌面是對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理的重要工具，在黑客防范的過程中，應(yīng)該對(duì)默認(rèn)的3389端口進(jìn)行修改，以免被黑客所利用。但是，黑客還會(huì)通過讀取來自注冊(cè)表的方式得到真實(shí)的連接端口。這時(shí)，就需要設(shè)置相應(yīng)注冊(cè)表中的權(quán)限功能，例如在[HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentContro]Set＼Con-tro]＼Terminal Server]項(xiàng)中設(shè)置該注冊(cè)表權(quán)限為拒絕讀取。

3ASP網(wǎng)站其他安全問題及防范技術(shù)措施

3.1應(yīng)對(duì)ASP站點(diǎn)遭受木馬攻擊的技術(shù)措施

1）時(shí)間對(duì)比方法

所謂的時(shí)間對(duì)比方法，就是利用對(duì)ASP文件進(jìn)行時(shí)間對(duì)比、排序的方法對(duì)文件進(jìn)行整理，確定最新修改的文件后，打開并查看文件中的內(nèi)容，若發(fā)現(xiàn)代碼內(nèi)容與原始代碼存在差別，則應(yīng)該將之設(shè)定為非法代碼，應(yīng)該將之刪除。

2）搜尋關(guān)鍵字

與其他的計(jì)算機(jī)病毒類似，ASP阿站木馬具有自身的特征碼，但是ASP木馬應(yīng)用的是關(guān)鍵字，這是其與其他病毒的典型區(qū)別。所以，在黑客防范的過程中可以利用Windows自身具備的搜索功能來查找系統(tǒng)中是否存在帶關(guān)鍵字的文件，搜索完成之后對(duì)其內(nèi)容查看，若搜尋得到較大的ASP文件，若使用的為虛擬主機(jī)，則通常為數(shù)據(jù)庫文件。若搜尋獲得的關(guān)鍵字為一句話，則其通常為大型的木馬文件。

3）通過瀏覽目錄搜尋木馬

若系統(tǒng)管理人員對(duì)網(wǎng)站結(jié)構(gòu)有清晰的認(rèn)識(shí)和了解，則可以通過應(yīng)用瀏覽目錄的方式來搜尋木馬。若搜尋結(jié)果發(fā)現(xiàn)存在無關(guān)文件，則不論其是木馬還是垃圾文件，都應(yīng)該將之刪除。例如，在dvbbs文件下的upfile文件夾當(dāng)中，這些子文件夾中應(yīng)該是沒有包含ASP文件的，若搜尋之后發(fā)現(xiàn)存在ASP文件，則應(yīng)該將之予以刪除。

4）及時(shí)進(jìn)行文件備份

在防范木馬入侵時(shí)，文件的備份也是一種有效的防范措施，能夠有效減少黑客入侵造成的損失。但是，該項(xiàng)工作必須在對(duì)應(yīng)的前提條件下進(jìn)行，例如要保證網(wǎng)站中的文件絕對(duì)安全，當(dāng)黑客入侵時(shí)能夠通過還原來保證網(wǎng)站的持續(xù)穩(wěn)定運(yùn)行。

3.2Session入侵的防范措施

Sesslon是網(wǎng)站服務(wù)器中存儲(chǔ)信息量的有效工具，當(dāng)?shù)卿浾军c(diǎn)時(shí)，其開始工作，而離開站點(diǎn)之后，對(duì)應(yīng)的session將停止工作。這使得其能夠成為黑客入侵的渠道。在防范時(shí)，可以采取如下的技術(shù)措施：

通常，系統(tǒng)站點(diǎn)的管理人員在輸入登錄指令之后，ASP程序?qū)⒆詣?dòng)啟動(dòng)搜索程序，對(duì)數(shù)據(jù)庫當(dāng)中的列表進(jìn)行搜尋確認(rèn)，查找對(duì)應(yīng)的管理人員是否存在，確定之后將分配一個(gè)表示其身份特征的session變量，在后續(xù)的所有操作中都將對(duì)該變量值進(jìn)行驗(yàn)證，若變量值不吻合，則將其引導(dǎo)至登錄界面。通常，黑客會(huì)利用植入的木馬編碼及其對(duì)服務(wù)器中的管理員session值進(jìn)行操作，從而獲得管理界面的相關(guān)操作權(quán)限。

對(duì)此，具體的防范技術(shù)措施為：基本的原則是要避免讓黑客預(yù)知獲得session變量名，因此ASP網(wǎng)站應(yīng)該對(duì)其關(guān)鍵session值的變量名進(jìn)行設(shè)置時(shí)避免應(yīng)用單一的變量名，而應(yīng)該使用字符串與隨機(jī)數(shù)組合的方式來分配變量名，增加黑客入侵的難度。

綜上所述，ASP網(wǎng)站運(yùn)行關(guān)系到用戶的真實(shí)體驗(yàn)，為了保證網(wǎng)站的穩(wěn)定運(yùn)行，必須從其運(yùn)行過程中主要遭受木馬攻擊和Session入侵兩個(gè)方面著手，采取針對(duì)性的防范與應(yīng)對(duì)技術(shù)，確保網(wǎng)站的運(yùn)行穩(wěn)定性。