【asp源码栏目提醒】:网学会员,鉴于大家对asp源码十分关注,论文会员在此为大家搜集整理了“Web应用程序的安全维护 - 项目管理”一文,供大家参考学习!
收稿日期2000-03-01修改稿作者简介阳威特1967男湖南双峰人工程师硕士主要研究方向网络数据库、网络安全。
文章编号100006902Web应用程序的安全维护阳威特西北核技术研究所计算中心陕西??西安710024摘要本文解释了Web应用程序的安全概念论述了如何通过验证用户ID和控制对应用程序资源的访问来维护应用程序的安全并从操作系统级、Web服务器级、数据库级以及Web应用程序级各个层次上阐述了维护微软
ASP应用程序的安全技术。
关键词Web应用程序安全
ASP脚本中图分类号TP311.53文献标识码B1Web应用程序的安全1.1Web应用程序的安全层次Web应用程序的安全是一个复杂的课题因为按不同的几种方式Web应用程序安全能设置为几个不同的级别或层次。
例如在操作系统级Win-dowsNT提供了域和用户帐号安全性验证在Web服务器级InternetInformationServer管理程序里设置了用户帐号和服务器属性在数据库级MSSOLServer企业管理程序里说明了许可权限在Web应用程序级在VisualInterDevWeb许可权限对话框、登录页以及存储在会话期session中的变量里都设置了Web应用程序安全属性。
操作系统级操作系统级的安全是Web应用程序最基本的也是最重要的安全保证。
为操作系统所做的安全选择依赖于操作系统所提供的特征和选项。
例如如果你正在使用WindowsNT你不必使用一个特殊的帐号来显式地说明用户帐号就可以对许多用户实施身份验证。
只要使用“guestuser”客户就可以了。
这个帐号是缺省设置的。
如果你想要区分单个用户并跟踪他们就要在不同的级别上比操作系统实行更多的安全选择。
除了身份验证以外操作系统所使用的文件系统也影响到你所能赋予用户的许可权限。
例如WindowsNT可以使用NTFS或者FAT文件系统。
NTFS允许你为文件和文件夹说明一个ACL表AccessControlList因此可以比FAT更加细微地控制存取。
Web服务器级一旦操作系统已验证了用户的身份IDWeb服务器也能评估用户的ID值。
Web服务器主要是在运行时控制存取。
例如如果你正使用IISInternetInformationServer的缺省配置那么Web服务器把匿名请求当作匿名的IIS用户即IUSR—machinename来处理。
由IIS所建立的匿名用户类似于在WindowsNT用户管理器中所定义的Internet访客帐号但是口令的改变并不会被自动处理。
数据库级为某一数据库所设置的安全措施依赖于所使用的数据库管理系统。
对于基于文件如MicrosoftAccess的??mdb文件的数据库系统可以通过共享操作系统中文件和文件夹的许可权限来控制安全。
如使用SOLServer可以使用DBMS所提供的给予和撤消特权等性能。
基于WindowsNT的SOLServer提供了三种类型的注册安全选择但我们推荐使用标准安全方式。
Web应用程序级在Web应用程序里我们能利用FrontPage服务器扩展程序和
ASP的Global.asa文件处理所提供的安全特性。
VisualInterDev通过FrontPage服务器扩展程序而工作它使用masterWebServer上的主机操作系统的安全模型来管理设计时的Web许可权限。
ASP的一个特征就是Web应用程序的Global.asa文件是自动被处理的。
可以使用Web应用程序和会话期session去控制存取以及控制对Web程序的处理执行。
用户实际上决不会看见Global.asa文件和加给它的安全条款。
第20卷第5期2000年5月计算机应用ComputerApplicationsVol20No5May2000对于与Web服务器的交互VisualInterDev使用MicrosoftFrontPage服务器扩展程序。
这个服务器扩展程序可以使用你的操作系统和Web服务器的现有安全特性。
例如将这个扩展程序与Win-dowsNT和IIS集成去管理Web应用程序的安全。
用户通过VisualInterDev用户接口与FrontPage扩展程序交互。
如图1图1VisualInterDev和安全组件2
ASP应用程序的安全维护2.1关于ASPMicrosoftActiveServerPagesASP是服务器端的脚本编写环境可用它来创建动态Web页或生成功能强大的Web应用程序。
ASP页是包括HTML标记、文本和脚本命令的文件。
ASP页可调用Active组件来执行任务例如连接到数据库或进行商务计算。
通过
ASP可为Web页添加交互内容或用HTML页构成整个Web应用程序这些应用程序使用HTML页作为客户的界面。
2.2维护
ASP应用程序的安全正确配置安全设置是非常重要的。
如果不正确配置安全设置不但会使
ASP应用程序遭受不必要的篡改而且会妨碍正当用户访问.
asp文件。
Web服务器提供了各种方法来保护
ASP应用程序免遭未授权的访问和篡改。
NTFS权限可以通过为单独的文件和目录应用NTFS访问权限来保护
ASP应用程序文件。
NTFS权限是Web服务器安全性的基础它定义了一个或一组用户访问文件和目录的不同级别。
当拥有WindowsNT有效帐号的用户试图访问一个有权限限制的文件时计算机将检查文件的访问控制表ACL。
该表定义了不同用户和用户组所被赋予的权限。
如果用户的帐号具有打开文件的权限计算机则允许该用户访问文件。
例如Web服务器上的Web应用程序的所有者需要有“更改”权限来查看、更改和删除应用程序的.
asp文件。
但是访问该应用程序的公共用户应仅被授予“只读”权限以便将其限制为只能查看而不能更改应用程序的Web页。
维护Global.asa的安全为了充分保护
ASP应用程序一定要在应用程序的Global.asa文件上为适当的用户或用户组设置NTFS文件权限。
Web服务器权限可以通过配置Web服务器的权限来限制所有用户查看、运行和操作
ASP页的方式。
不同于NTFS权限提供的控制特定用户对应用程序文件和目录的访问方式Web服务器权限应用于所有用户并且不区分用户帐号的类型。
对于要运行
ASP程序的用户在设置Web服务器权限时须遵循下列原则对包含.
asp文件的虚拟目录允许“读”或“脚本”权限。
对.
asp文件和其他包含脚本的文件如.htm文件等所在的虚目录允许“读”和“脚本”权限。
对包含.
asp文件和其他需要“执行”权限才能运行的文件如.exe和.dll文件等的虚目录允许“读”和“执行”权限。
Cookie安全性
ASP使用SessionIDcookie跟踪应用程序访问或会话期间特定的Web浏览器的信息。
这就是说带有相应的cookie的HTTP请求被认为是来自同一Web浏览器。
Web服务器可以使用SessionIDcookies配置带有用户特定会话信息的
ASP应用程序。
加密重要的SessionIDCookie可以通过对Web服务器和用户的浏览器间的通讯链路加密来防止SessionIDcookie被截获。
使用身份验证机制保护被限制的
ASP内容可以要求每个试图访问被限制的
ASP内容的用户必须要有有效的WindowsNT帐号的用户名和密码。
每当用户试图访问被限制的内容时Web服务器将进行身份验证即确认用户身份以检查用户是否拥有有效的WindowsNT帐号。
保护元数据库访问元数据库的
ASP脚本需要Web服务器所运行的计算机的管理员权限。
在从远程计算机上运行这些脚本时须经已通过身份验证的连接如使用WindowsNT请求响应验证方式进行连接。
应该为管理级.
asp文件创建一个服务器或目录并将其目录安全验证方式设置为WindowsNT请求响应式身份验证。
目前仅MicrosoftInternetExplorerversion2.0或更高版本支持WindowsNT请求响应式身份验证。
使用SSL维护应用程序的安全SecureSocketsLayerSSL3.0协议作为Web服07计算机应用2000年文章编号1001-9081200005-0071-02VFP程序多层容器与控件重叠设计方法王中田山东工程学院计算机系山东??淄博255012摘要本文提出了一个在同一表单界面中重叠设计多层容器与控件对象在运行中又能分层次按顺序进行显示、选择操作的VFP程序设计方法。
关键词重叠设计容器与控件VFP程序中图分类号TP311.1文献标识码B1问题的提出在VisualFOXPrO数据库管理系统中经常需要按层次按顺序地进行多项选择操作。
例如人事档案管理系统数据修改模块有以下三层多项选择检索方式选择A.按姓名B.按工作单位C.按组合条件其中选定A后接着选择姓名选定B后接着选择单位选定C后进行建立组合条件操作。
修改内容选择D.基本人事信息E.人事档案子信息其中选定D后转到第三层选择修改项目选定E后接着选择人事档案子信息。
修改项目选择F.全部项目G.部分项目.单一项目替换其中选定F后执行全部项目修改操作选定G后接着选择待改项目继后进行修改操作选定后接着选择替换项目继后进行替换操作。
各层选择的顺序要求是选定后才能选选定后才能选各层选择的退出顺序是由返回由返回由退出。
实现以上功能要求通常有两种方法一是把所有容器和控件选项设置于一个表单平面上但这样做会使窗口界面显得杂乱二是由多个表单或表单集来完成这样容易实现选项的层次感和有序性使界面清晰直观缺点是增加了存储空间降低了运行速度。
收稿日期19991122作者简介王中田1951-男山东省诸城市人副教授主要研究方向计算机信息管理。
务器安全特性提供了一种安全的虚拟透明方式来建图2SSL层对服务器和客户机系统之间流动的信息进行加密和保护立与用户的加密通讯连接。
SSL保证了Web内容的验证并能可靠地确认访问被限制的Web站点的用户身份。
通过SSL您可以要求试图访问被限制的
ASP应用程序的用户与您的服务器建立一个加密连接以防用户与应用程序间交换的重要信息被截取。
图2描述了这一过程。
3结束语Web应用程序的安全维护是当前InternetIntranet上一个重要的研究课题它关系到网络的生存与发展。
本文从各个层次上概要论述了Web应用程序的安全与维护特别是对
ASP程序的安全作了较为详细的探讨希望能给与Web用户一些启迪和参考。
参考文献1RuedigerRAscheWindOwsNTSecurityinTheOryandPracticeMMSDNTechnOlOgyGrOup1995第20卷第5期2000年5月计算机应用COmputerApplicatiOnsVOl20NO5May2000
上一篇:
【最新】转载ASP数据添加修改删除
下一篇:
恋沫