基于ASP动态网站设计安全性的讨论
摘要:本文主要结合 ASP 动态网站开发经验,对ASP 程序设计存在的信息安全隐患进行分析,讨论了ASP 程序常见的安全漏洞,从程序设计角度对 WEB信息安全及防范做了技术分析和研究。
关键词:安全漏洞 黑客攻击 SQL注入 木马后门 系统分析 网站维护 网络安全
引言:网络上的动态网站以ASP为多数,本人曾经为公司制作的网站也是ASP的。本人作为电子商务网站的制作和维护人员,与ASP攻击的各种现象斗争了多次,也对网站进行了一次次的修补,根据
工作经验,就ASP网站设计常见安全漏洞及其防范进行一些探讨。本文结合ASP动态网站开发经验,对ASP 程序设计存在的信息安全隐患进行分析,讨论了ASP 程序常见的安全漏洞,从程序设计角度对 WEB信息安全及防范做了技术分析和研究。
一. 网络安全总体状况分析
2008年上半年,只有半年时间,国家计算机网络应急技术处理协调中心接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和12.5%。
从国家
计算机网络应急技术处理协调中心掌握的半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,也不排除放置恶意代码的可能。对中小企业网站,尤其是以网络为核心业务的企业网站,采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索,影响企业正常业务的开展。对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产。
二.用IIS+ASP建网站的安全性分析
微软公司推出的IIS+ASP的解决方案作为一种典型的服务器端网页
设计技术,被广泛应用在网上银行、电子商务、网上调查、网上
查询、BBS、搜索引擎等各种互联网应用中。但是,该解决
方案在为我们带来便捷的同时,也带来了严峻的安全问题。本文从 ASP 程序设计角度对 WEB 信息安全及防范进行分析讨论。
三.ASP安全漏洞和防范
3.1 程序设计与脚本信息泄漏隐患
bak 文件。攻击原理:在有些编辑ASP程序的工具中,当创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,如果你没有删除这个bak文件,攻击者可以直接下载,这样源程序就会被下载。
防范技巧:上传程序之前要仔细检查,删除不必要的
文档。对以bak为后缀的文件要特别小心。
inc文件泄露问题。攻击原理:当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用
搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。
防范技巧:程序员应该在网页发布前对它进行彻底的调试。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件,使用户无法从浏览器直接观看文件的源代码。
3.2 对ASP页面进行加密。
为有效的防止ASP
源代码泄露,可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入DLL之中;二是使用微软的Script Encoder对ASP页面进行加密。
3.3 程序设计与验证不全漏洞
验证码。普遍的客户端交互如留言本、
会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如
注册机,可以通过浏览WEB,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而可以解决这个
问题。
登陆验证。对于很多网页,特别是网站后台管理部分,是要求有相应权限的用户才能进入操作的