计算机光盘软件与应用
工程技术
r'
-
Computer
i
CD
Software and Applications
2010年第16期
iiiiiiii葺i置i宣宣ii宣
基于ASP的网站设计安全防范问题研究
刘志方 (广州南洋理工职业,广州510980) 摘要:目前,用于网页设计的开发工具很多,而ASP(ActiveServerPages)作为一种典型的服务器端网页设计技术, 它将脚本、超文本和强大的数据库访问功能融合在一起,集简单性、高效性和易扩展性于一身。所以互联网上基于它的免 费源码非常之多,许多企事业单位将其下栽直接用作自己的网站,也就出现了一个源码有漏洞,成百上千个网站被波及的 现象。也有一些程序员缺乏对于AsP网站后台入侵原理及其手段的了解,设计的网站存在重大的安全隐患。 关冀词:ASP;网站安全;安全漏洞;防范策略 中围分类号:TP393.092 文献标识码:A 文章鳊号:1007-9599(2010)16-0068-01
ASP-based
(Guangzhou
Website
Design Issues of Security
51
Uu Zhifang Nanyang Technological Vocational College,Guangzhou
0980。China)
Abstract:At present,the development of tools for web design arc many,and ASP(ActiveServer Pages)as a typical server-side
web d鹤i印technology that will scfipt,hypenext,and powerful database access functions together,set simple。efficiency and case of scalability in One.Therefore.its free Internet-based source code very much,many enterprisCS and institutions to download them directly a8 their website。also there is a flawed source,hundreds of W曲sites have been affected by the phenomenon,th盯e ale some
programmers lack
of principle for the ASP site and
the
means
of background knowledge of the mv雒ion.the design of the site with
significant security risks. Key
words:ASP;Site security;Security vulnerabilities;Preventive strategies
随着互联网的迅速发展,为了能更好地更充分地使用好互联 网这个世界上最大的交流平台,许多单位竞相建设了自己的网站。 在Web数据库访问的多种技术中,ASP以其开发周期短、存取数 据库方便、执行效率高而成为众多网站程序员的首选开发技术。 ASP是Microsoft公司推出的一种用以取代CGI通用网关接口的 技术,英文全称Active Server Pages,动态服务器网页。它是 一个Web服务器端的运行环境。ASP本身包含了VBScript和 Javascript引擎,使得脚本可以直接嵌入HT^IL中。 一、ASP在网络安全上的优点 ASP脚本是使用
VBScript,
JavaScript或JScript脚本语言 编写的,与标准HTML页面混合在一起的脚本所构成的文本格式的 文件。当Web浏览器向Web服务器发出HTTP请求,访问ASP文件 时,Web服务器判断出该请求的ASP文件含有“<%”和“%>” 后,调用ASP。DLL,进行语法分析、解释执行,然后将最终结果 转换成为标准的
HTML格式内容,返回给Web浏览器,由Web浏览 器显示。这是一次完整的ASP执行过程。 二、ASP网站的主要安全隐患 ASP网站由于系统软件的漏洞、计算机病毒、网站
设计人员 的水平、维护人员的水平和责任心、后台管理用户的习惯和安全 责任心等各类因素,都可能对网站的正常运行、网站信息的安全 可靠性带来一定的影响,主要的安全隐患有: (一)设计上的漏洞。有些网站在设计时存在利用网上的现 成模板或代码公开的
免费程序,有些ASP网站设计人员将有特权 的用户名、密码、数据库路径等直接写在程序中。为攻击者攻击 系统提供了破解密码、下载数据库甚至登录到后台获取网站的管 理权限等途径。 (二)系统
软件和管理上的漏洞。Windows,Linux等操作系 统以及网站采用的数据库
系统如Access、SOLSERVER等存在有一 定的安
全漏洞;IIS、
注册表、特殊