基于asp网站的攻击与防范

基于asp网站的攻击与防范

ID:28144627

大小:131.25 KB

页数:5页

时间:2018-12-07

基于asp网站的攻击与防范_第1页
基于asp网站的攻击与防范_第2页
基于asp网站的攻击与防范_第3页
基于asp网站的攻击与防范_第4页
基于asp网站的攻击与防范_第5页
资源描述:

《基于asp网站的攻击与防范》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、基于ASP网站的攻击与防范1、引言ASP即ActiveServerPages,它是微软开发的一种动态网站编写技术,属于嵌入式服务器端脚本,允许HTML和ASP程序语句的互相嵌套,并且可以直接存取数裾库及使用无限扩充的ActiveX控件,因此ASP的程序编制比HTML更方便,交互功能更强大,且更有灵活性。但是有些网站管理员只看到ASP的快速开发能力,却忽视了ASP安全问题,因此如何保护Web网站的安全是每一个Web网站开发人员所面临的重要课题,本文通过对基于ASP技术的动态Web网站工作原理的分析,探讨了基于ASP的网站在服务器和源代码方面的漏洞,并给出了防范措施和对策。2、ASP的工作原理

2、ASP的执行环境是在服务器端,但并不是任何服务器都可以执行ASP。ASP需要Microsoft的IIS(Internet信息服务器)或PWS(个人Web服务器)的支持。当客户端的用户用Web浏览器来访问ASP页面时,Web服务器分析、判断出该请求是ASP脚本的应用后,将调用ASP脚本的解释运行引攀(ASP.DLL)从文件系统或内部缓冲区获取制定的ASP脚本文件,接着就进行语法分析并解释执行。最终的处理结果将形成标准的HTML格式文件,通过Web服务器返回给Web浏览器,由Web浏览器在客户端形成最终的结果呈现。3、ASP执行过程以及在网络安全上的优点ASP脚本是使用VBScript,jav

3、ascript或JScript脚本语言编写的,与标准HTML页面混合在一起的脚本所构成的文本格式的文件。当Web浏览器向Web服务器发出HTTP请求,访问ASP文件时,Web服务器判断出该请求的ASP文件含有“”后,调用ASP.DLL,进行语法分析、解释执行,然后将最终结果转换成为标准的HTML格式内容,返回给Web浏览器,由Web浏览器显示。这是一次完整的ASP执行过程。ASP在网络安全方面主要有以下优点:(1)在不泄漏源代码相比客户端执行的javascript程序,ASP在网络安全上的优点之一是用户不能看到ASP源程序。因为传到浏览器端的只是转换成HTML语言的结果。这一点既维护了AS

4、P开发人员的版权,又维护了网站系统的安全。U4mAt(2)支持虚拟目录的建立在网络安全上有重要意义。因为虚拟目录方式可以隐藏站点目录结构。而站点目录结构的暴露,••*f*BB&0〕.•愛直似•IA爆>•Indexof/•jMJrr罈SQbuhokSZuatMl‘拗似♦戌念:m•鉍h•期IMAM番IM泰湖往往是导致系统受到攻击的第一步。而且网站源代码不需要任何修改,就可以搬迁到另一台服务器上正常运行,另外,管理员可以对虚拟目录设置不同的操作权限。从而方便管理,并且提高ASP程序的安全性。4、ASP常见的安全漏洞及防范措施4.1Access数据库访问密码池露安全漏洞由于Access数裾库的加密

5、机制非常简单,即使数据库设置Y密码,解密也很容易。该数据库系统通过将用户输入的密码与某一固定密钥进行异或来形成一个加密串,并将其存储在*.mdb文件从地址“&H42”开始的区域内。由于异或操作的特点是经过2次异或就能恢复原值,因此,用这一密钥与*.mdb文件从地址“&H42”开始区域内的加密字符串进行第2次异或操作,可以轻松地得到任何Access数据库的密码。Mi)量鬌泊夢讓A轚•»»MU•9••i•_,•9±Q>-Sfll1•,:I■曹II:•••••I■龍罐M:tOM*052如图:防范措施:(1)不能把密码的物理路径直接写在程序中,而应使用虚拟路径。(2)使用SSL维护应用程序的安全。

6、它提供了一种安全的虚拟透明的方式来建立与用户的加密通信连接。SSL保证了Web内容的验证,并能可靠地确认访问被限制的Web站点的用户的身份,防止发送信息被监听的可能。(3)客户资格认证。这是一种十分安全的方法。每当用户试图登录到需要资格验证的应用程序时,用户的Web浏览器会自动向服务器发送用户资格。如果Web服务器的SSL资格映射特性配置正确,那么服务器就可以在许可用户对ASP应用程序访问之前对其身份进行确认。4.2Access数据库下载漏洞在采用ASP+Access技术建设的网站中,如果有人通过各种方法获得或者猜到数据库的存储路径和文件名,则该数据库就可以被下载到本地。例如:对于网上书店

7、数掘库,一般命名为dvbbs8.mdb、book.mdb、store.mdb等。存储路径一般为“URL/database”或放在根目录“URL/”下。这样,只要敲入地址:“URL/database/dvbbs8.mdb”,数据库就可以被下载。;•••r-«WU•>一V•rw!>OS

8、>Mn<•*aix>,p鬌妒曝1fti»-r.ra«&iu«a*D•i•C«»—•u*零•卜yta)*in雀卜tldliiwSAXOULma

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。