asp的网站设计安全防范问题研究.doc

asp的网站设计安全防范问题研究.doc

ID:49201701

大小:63.50 KB

页数:5页

时间:2020-03-01

asp的网站设计安全防范问题研究.doc_第1页
asp的网站设计安全防范问题研究.doc_第2页
asp的网站设计安全防范问题研究.doc_第3页
asp的网站设计安全防范问题研究.doc_第4页
asp的网站设计安全防范问题研究.doc_第5页
资源描述:

《asp的网站设计安全防范问题研究.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、ASP的网站设计安全防范问题研究摘要:目前,用于网页设计的开发工具很多,而ASP(ActiveServerPages)作为一种典型的服务器端网页设计技术,它将脚本、超文木和强大的数据库访问功能融合在一起,集简单性、高效性和易扩展性于一身。所以互联网上基于它的免费源码非常之多,许多企事业单位将其下载直接用作自己的网站,也就出现了一个源码有漏洞,成百上千个网站被波及的现象,也有一些程序员缺乏对于ASP网站后台入侵原理及其手段的了解,设计的网站存在重大的安全隐患。关键词:ASP;网站安全;安全漏洞;防范策略中图分类号:TP393.092文

2、献标识码:A文章编号:1674-7712(2013)04-0080-01随着互联网的迅速发展,为了能更好地更充分地使用好互联网这个世界上最大的交流平台,许多单位竞相建设了自己的网站。在Web数据库访问的多种技术中,ASP以其开发周期短、存取数据库方便、执行效率高而成为众多网站程序员的首选开发技术。一、ASP在网络安全上的优点ASP脚本是使用VBScript,JavaScript或JScript脚本语言编写的,与标准HTML页血混合在一起的脚本所构成的文本格式的文件。当Web浏览器向Web服务器发出IITTP请求,访问ASP文件时,W

3、eb服务器判断出该请求的ASP文件含有后,调用ASP。DLL,进行语法分析、解释执行,然后将最终结果转换成为标准的HTML格式内容,返冋给Web浏览器,由Web浏览器显示。这是一次完整的ASP执行过程。ASP在网络安全方面主要有以下优点:(-)不泄漏源代码相比客户端执行的JavaScript程序,ASP在网络安全上的优点之一是用户不能看到ASP源程序。因为传到浏览器端的只是转换成HTML语言的结果。这一点既维护了ASP开发人员的版权,又维护了网站系统的安全。(-)支持虚拟目录虚拟目录的建立在网络安全上有重要意义。因为虚拟目录方式可以

4、隐藏站点目录结构。而站点目录结构的暴露,往往是导致系统受到攻击的第一步。而且网站源代码不需要任何修改,就可以搬迁到另一台服务器上正常运行,另外,管理员可以对虚拟冃录设置不同的操作权限。从而方便管理,并且提高ASP程序的安全性。二、ASP网站的主耍安全隐患ASP网站由于系统软件的漏洞、计算机病毒、网站设计人员的水平、维护人员的水平和责任心、后台管理用户的习惯和安全责任心等各类因素,都可能对网站的正常运行、网站信息的安全可靠性带来一定的影响,主要的安全隐患有:(-)设计上的漏洞有些网站在设计时存在利用网上的现成模板或代码公开的免费程序,

5、有些ASP网站设计人员将有特权的用户名、密码、数据库路径等直接写在程序中,为攻击者攻击系统提供了破解密码、下载数据库其至登录到后台获取网站的管理权限等途径。(二)系统软件和管理上的漏洞Windows、Linux等操作系统以及网站采用的数据库系统如Access、SQLSERVER等存在有一定的安全漏洞;TTS、注册表、特殊系统命令和文件夹的属性、用户名及用户权限、用户口令及生存期等安全设置,若处理不当,对网站的安全性影响较大。(三)后台管理用户使用安全问题网站后台管理用户由于习惯和安全责任心等对网站的安全性也有很大的影响,如后台登录的

6、用户名、密码过于简单有规律、密码使用期太长等易被破解;密码保存问题、后台管理计算机系统有木马和计算机病毒容易造成密码泄露等。三、对ASP安全隐患的防范策略目前,大多数网站上的ASP程序有很多安全漏洞,但如果编写程序的时候注意一点的话,还是可以避免的。(-)源程序泄露的防范当存在ASP的主页止在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。因此,程序员应该在网页发布前对它进行彻

7、底的调试;安全专家则需要加固ASP文件以便外部的用户不能看到它们。首先对。inc文件内容进行加密,其次也可以使用。ASP文件代替。inc文件使用户无法从浏览器直接观看文件的源代码。inc文件的文件名不要使用系统默认的或者有特殊含义容易被用户猜测到的名称,尽量使用无规则的英文字母。(―)防止验证被绕过现在需要经过验证的ASP程序大多是在页面头部加一个判断语句,但这还不够,有可能被黑客绕过验证直接进入。因此,对于这类问题的防范,需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。(三)用户名与

8、口令破解的防范用户名与口令,往往是黑客们最感兴趣的东西,如果被通过某种方式看到源代码,后果是严重的。因此,涉及用户名与口令的程序最好封装在服务器端,尽量少在ASP文件里出现,涉及与数据库连接的用户名与口令应给予最小的权限。出现次数多的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。