欢迎来到天天文库
浏览记录
ID:31776816
大小:56.62 KB
页数:5页
时间:2019-01-18
《基于asp网站安全探究和防范》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、基于ASP网站安全探究和防范摘要ASP是一种常用的动态网页开发技术,因为它简单实用,所以应用比较广泛。但带来便捷的同时也带来了一个比较棘手的问题,就是安全问题,稍有不慎,将导致网站被攻击、数据被窃取等安全问题的发生,困扰着好多程序开发者和站点管理人员。本文将对ASP站点的安全性进行研究,分析可能存在的问题并加以防范。【关键词】ASP网站安全防范随着互联网信息技术的快速发展,用户需求的不断提升,使得网络WEB技术得到了越来越广泛的应用,而ASP作为WEB服务器端传统的一门技术更是被不断应用,基于ASP的站点日益增多,虽然在安全性配置上做了大量工作,但相比黑客攻击手
2、段的变化,还是略显不足,这就要求我们必须在原来的基础上,不断探索,筑牢安全防线,确保站点安全。1威胁ASP站点安全因素目前,ASP站点可能存在的安全问题很多,但是,最常被攻击者利用的主要有以下几种:1.1程序泄露Bak文件泄露。程序编写人员在使用ultraedit等文本编译器进行程序编写时,因为设置问题,软件会自动在源程序文件目录下生成副本文件,即*.asp.bak文件,其内容与源程序文件完全一致,这样,攻击者很容易地下载该文件,得到bak文件后,相当于得到了源程序文件,从而可以进行相关攻击。1.2SQL注入SQL注入因为操作相对比较简单,所以发展成一种比较常见
3、的攻击数据库手段,而且因为其表面上看跟一般的WEB访问也没有什么区别,所以防火墙也很难加以识别并阻止。SQL注入主要攻击形式有绕过用户登录、删除用户表以及传递参数等,其破坏性相对较大。1.3上传漏洞好多WEB站点,基于系统需要都提供了文件上传功能,但恰恰就是这一功能,如果程序编写人员在页面设计时没有对用户提交的参数以及文件类型进行严格的过滤,攻击者就会利用这一漏洞上传一下网页木马等文件,从而达到对站点进行入侵的目的。1.4ASP木马由于ASP木马本身就是用ASP编写的程序,它和正常的ASP程序没有本质区别,而且只要能运行ASP的空间就可以运行它,所以很难被发现。
4、它往往利用SQL注入以及文件上传等漏洞将木马文件上传至ASP空间,然后运行木马,从而控制站点程序,达到入侵目的。2ASP站点安全防护在对ASP站点进行安全配置之前,必须对WEB服务器操作系统进行安全配置,包括及时更新补丁、关闭不必要的端口等配置,然后再针对ASP站点进行进一步的安全配置。2.1安装杀毒软件并及时更新目前,市场上的杀毒软件品种繁多,一定要选择相对比较主流的杀毒软件进行安装,可以查杀绝大部分的病毒以及防范网络攻击,但是并不是装好了杀毒软件就万事大吉了,还必须不断更新病毒库,因为各个站点的工作环境不同,所以必须采取适合自己的方式对杀毒软件进行更新和配置
5、,只有这样,才能让杀毒软件最大限度地发挥作用。2.2程序编写必须严谨编程人员才程序编写过程中必须要十分严谨,在使用ultraedit等文本编辑器进行程序编写时,一定要做好相关配置,避免因bak文件泄露导致程序泄露。同时,对一些涉及sql传递参数、文件上传等部分必须严格进行过滤,避免被sql注入或者数据库被暴库发生。2.3防止数据库被下载配置人员必须对默认的数据库路径进行更改,否则黑客就可以很容易地通过直接从源码站点下载到网站的源程序,然后在本地进行测试,从而找到默认的数据库,再通过下载数据库并读取里面的用户信息等相关数据找到管理入口进行登陆获得webshello
6、另外,还有就是利用程序出错从而暴出了网站数据库的路径,我们可以添加mdb的扩展映射来防氾。打开IIS添加一个MDB的映射,让mdb解析成为其他下载不了的文件:"IIS属性"一"主目录”一“配置”一“映射”一“应用程序扩展”里面添加.mdb文件应用解析,至于用于解析它的文件大家可以自己进行选择,只要访问数据库文件出现无法访问就可以了。2.4防止非法上传在对站点进行配置时,一定要注意,可以上传的目录就不能给执行的权限,可以执行的目录不能给上传的权限。Web程序是通过IIS用户运行的,我们只要给IIS用户一个特定的上传目录有写入权限,然后又把这个目录的脚本执行的权限去
7、掉,这样就可以防止黑客通过上传获得webshellTo配置方法:首先在IIS的WEB目录中,打开权限选项卡、只给IIS用户读取和列出目录权限,然后进入上传文件保存和存放数据库的目录,给IIS用户加上写入权限,最后在这两个目录的“属性”一“执行权限”选项把“纯脚本”改为"无”即可。需要特别注意的是,在你设置以上权限的时候,务必要注意到设置父目录的继承。避免所做的设置无法生效。2.5防范ASP木马黑客要想通过ASP木马进行入侵,必须先要上传木马,所以要想防范ASP木马,就必须要防止黑客利用漏洞进行上传。可以从以下几个方面入手防范:程序管理员的用户名和密码必须要复杂一
8、点,而且要最好封装在服务
此文档下载收益归作者所有