返回
关于asp网站设计安全性探讨

关于asp网站设计安全性探讨

ID:9302979

大小:23.01 KB

页数:10页

时间:2018-04-27

关于asp网站设计安全性探讨_第1页
关于asp网站设计安全性探讨_第2页
关于asp网站设计安全性探讨_第3页
关于asp网站设计安全性探讨_第4页
关于asp网站设计安全性探讨_第5页
资源描述:

《关于asp网站设计安全性探讨》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、关于ASP网站设计安全性探讨论文关键词:ASP;黑客攻击;SQL注入;安全漏洞;木马后门论文摘要Д:网络上的动态网站以ASP为多数,我朐们学校的网站也是ASP的。笔者作为学篷校网站的制作和维护人员,与ASP攻击的各种现象斗争了多次,也对网站进行了藐一次次的修补,根据工作经验,就ASP线网站设计常见安全漏洞及其防范进行一些碟探讨。本文结合ASP动态网站开发经验泻,对ASP程序设计存在的信息安全隐患喜进行分析,讨论了ASP程序常见的安全Z漏洞,从程序设计角度对WEB信息安全淦及防范提供了参考。1网络安全总体状嘟况分析XX年1月至6月期间,半年时鹃间内,CNCERT/CC接收

2、的网络仿睃冒事件和网页恶意代码事件,已分别超出赘去年全年总数的%和%。从CNCER甥T/CC掌握的半年情况来看,攻击者的噜攻击目标明确,针对不同网站和用户采用A不同的攻击手段,且攻击行为趋利化特点﹄表现明显。对政府类和安全管理相关类网泺站主要采用篡改网页的攻击形式,也不排渤除放置恶意代码的可能。对中小企业,尤菝其是以网络为核心业务的企业,采用有组织的分布式拒绝服务攻击(DDoS)等鸣10/10手段进行勒索,影响企业正常业务的开展q。对于个人用户,攻击者更多的是通过用胁户身份窃取等手段,偷取该用户游戏账号含、银行账号、密码等,窃取用户的私有财蛔产。2用IIS+ASP建网站

3、的安全领性分析微软推出的IIS+ASP的解雩决方案作为一种典型的服务器端网页设计幽技术,被广泛应用在网上银行、电子商务蓣、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是,该解决方俏案在为我们带来便捷的同时,也带来了严洽峻的安全问题。本文从ASP程序设计角臣度对WEB信息安全及防范进行分析讨论蜉。3SP安全漏洞和防范程序设计与脚本信息泄漏隐患bak文件。攻击原咄理:在有些编辑ASP程序的工具中,当症创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,如果你没有删除⑷这个bak文件,攻击者可以直接下载,这样源程序就会被下载。防范技巧:上颥传程序之前

4、要仔细检查,删除不必要的文档。对以BAK为后缀的文件要特别小心咽。inc文件泄露问题。攻击原理:当员存在ASP的主页正在制作且没有进行最阪后调试完成以前,可以被某些搜索引擎机10/10搦动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整呛的源代码。防范技巧:程序员应该在网箝页发布前对它进行彻底的调试。首先对.诖inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件,使用萏户无法从浏览器直接观看文件的源代码。鱿对ASP页面进行加密。为有效地防止犴ASP源代码泄

5、露,可以对ASP页面进行加密。我们曾采用两种方法对ASP页Ε面进行加密。一是使用组件技术将编程逻镖辑封装入DLL之中;二是使用微软的S沃criptEncoder对ASP页面进行加密。程序设计与验证不全漏洞验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览督WEB,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响赂,或者通过软件不断的尝试,盗取你的密讳码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而┱可以解决这个问题。登陆验证。对于很犒多网页,特别是网站后台管理

6、部分,是要求有相应权限的用户才能进入操作的。但是,如果这些页面没有对用户身份进行验巽10/10证,黑客就可以直接在地址栏输入收集到黻的相应的URL路径,避开用户登录验证絮页面,从而获得合法用户的权限。所以,洼登陆验证是非常必要的。SQL注入。涮SQL注入是从正常的WWW端口访问,纲而且表面看起来跟一般的Web页面访问⒒没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没蚍查看IIS日志的习惯,可能被入侵很长懑时间都不会发觉。SQL注入攻击是最为常见的程序漏洞攻击方式,引起攻击的遗根本原因就是盲目信任用户,将用户输入犬用来直接构造SQL语句或存储

7、过程的参辇数。以下列出三种攻击的形式:A.用户登录:假设登录页面有两个文本框,分帐别用来供用户输入帐号和密码,利用执行菹SQL语句来判断用户是否为合法用户。宴试想,如果黑客在密码文本框中输入'OR0=0,即不管前面输入的用户帐号和町密码是什么,OR后面的0=0总是成立的,最后结果就是该黑客成为了合法的用户。B.用户输入:假设网页中有个搜摒索功能,只要用户输入搜索关键字,系统就列出符合条件的所有记录,可是,如果但黑客在关键字文本框中输入'GODROPTABLE用户表,后果是用户表被彻帑底删除。C.参数传递:假设我们有

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。