返回
论述asp动态网站的漏洞及防治技术

论述asp动态网站的漏洞及防治技术

ID:13414767

大小:88.00 KB

页数:7页

时间:2018-07-22

论述asp动态网站的漏洞及防治技术_第1页
论述asp动态网站的漏洞及防治技术_第2页
论述asp动态网站的漏洞及防治技术_第3页
论述asp动态网站的漏洞及防治技术_第4页
论述asp动态网站的漏洞及防治技术_第5页
资源描述:

《论述asp动态网站的漏洞及防治技术》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、ASP动态网站的漏洞及防治技术目录一、什么是ASP1二、ASP原理1三、ASP和其他语言的比较2四、ASP的优缺点3五、ASP漏洞3(一)用户名与口令被破解3(二)验证被绕过3(三)inc文件泄露问题4(四)自动备份被下载4(五)特殊字符4(六)数据库下载漏洞5(七)防范远程注入攻击5(八)ASP木马(利用文件上传)6六、总结6【摘要】近年来,电子商务行业如雨后春笋般发展,各大公司也纷纷投向电子商务行业。目前非常多网站特别是电子商务方面的网站,在前台上大都用ASP来实现。以至于目前ASP在网站应用

2、上非常普遍。但是,由于ASP本身存在一些安全漏洞,稍不小心就会给黑客提供可乘之机。事实上,安全不仅是网管的事,编程人员也必须在某些安全细节上注意,养成良好的安全习惯,否则会给自己的网站带来巨大的安全隐患。目前,大多数网站上的ASP程序有这样那样的安全漏洞,但如果编写程序的时候注意一点的话,还是可以避免的。【关键词】ASP漏洞,ASP漏洞防护一、什么是ASPASP(ActiveServerPages),即“动态服务器页面”。ASP是微软公司开发的代替CGI(CommonGatewayInterfac

3、e通用网关接口)脚本程序的一种应用,它可以与数据库和其它程序进行交互,是一种简单、方便的编程工具。使用他能创建和运行动态、交互的web服务器应用程式。ASP能组合html页、脚本命令和activex组件以创建交互的web页和基于web的功能强大的应用程式。二、ASP原理Web服务器HTTP请求HTTP应答静态网页客户端ADO数据库ASP是否要求连接数据库动态网页ASP工作流程图ASP的工作原理:从用户的一个URL请求到服务器反馈一个页面到浏览器,工作流程大致如下:(1)用户在客户端浏览器中输入一个

4、URL,与服务器建立连接。(2)服务器根据用户请求的URL在硬盘上找到相应文件。(3)若文件是普通的HTML文档,那么服务器将直接把该文件传送到客户端。(4)若文件是服务器脚本文件,如ASP文档,那么服务器将运行这个文档。如果需要查询数据库,则通过ADO组件连接ODBC或者DNS数据源访问数据库,进行一系列运算和解释后,将最终结果形成一个纯HTML文档。(5)把这个文档传送到客户端。(6)结束这次连接。由于最后传送到客户端的是一个纯HTML文本文件,用户在浏览器上看不到ASP源代码。三、ASP和其

5、他语言的比较动态网页的流行和发展,出现了大量Web后台程序如ASP,JSP,Perl,PHP等,现将他们比较如下 JSPASPPHPPerl易学性容易很容易很容易较难运行速度较快较快较快慢运行开销小较大较大大平台均可Windows均可均可扩展性很好好好不好安全性好不好好很好函数支持广不广广不广数据库支持多多很多多应用广泛性较广泛广泛广泛少对XML的支持支持不支持支持不支持三、ASP的优缺点ASP开发工具有以下优点:减少了Web应用程序的编写难度,用户容易掌握。动态访问数据库技术的代码简单易学。用户

6、可以通过COM来扩充复杂的功能。但是ASP只能运行在Windows平台上,操作系统的兼容性较差。由于Unix和Linux操作系统的源码开放性,并且也广泛地应用在网站服务器中,所以ASP的平台相关性大大制约了它的应用。四、ASP漏洞(一)用户名与口令被破解攻击原理:用户名与口令,往往是黑客们最感兴趣的东西,黑客们往往可以通过啊D、明小子等软件暴力破解。如果被通过某种方式看到源代码,后果是严重的。特别要记住限制万能密码('or'='or')的使用。防范技巧:涉及用户名与口令的程序最好封装在服务器端,尽

7、量少在ASP文件里出现,涉及与数据库连接的用户名与口令应给予最小的权限。出现次数多的用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及与数据库连接,在理想状态下只给它以执行存储过程的权限,千万不要直接给予该用户修改、插入、删除记录的权限。(二)验证被绕过攻击原理:现在需要经过验证的ASP程序大多是在页面头部加一个判断语句,但这还不够,有可能被黑客绕过验证直接进入。防范技巧:需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。(三).inc文件泄露

8、问题攻击原理:当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。防范技巧:程序员应该在网页发布前对它进行彻底的调试;安全专家则需要加固ASP文件以便外部的用户不能看到它们。首先对.inc文件内容进行加密,其次也可以使用.ASP文件代替.inc文件使用户无法从浏览器直接观看文件的源代码。.inc文件的文件名不

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。