ASP论文安全漏洞论文.doc

asp论文安全漏洞论文摘要：目前，用于网页设计的开发工具很多，而asp（activeserver pages）作为一种典型的服务器端网页设计技术，它将脚本、超文本和强大的数据库访问功能融合在一起，集简单性、高效性和易扩展性于一身。所以互联网上基于它的免费源码非常之多，许多企事业单位将其下载直接用作自己的网站，也就出现了一个源码有漏洞，成百上千个网站被波及的现象，也有一些程序员缺乏对于asp网站后台入侵原理及其手段的了解，设计的网站存在重大的安全隐患。关键词：asp；网站安全；安全漏洞；防范策略asp-based web site design security issueszhao zhijiang(baise university,baise533000,china)abstract:currently, the development of tools for web design are many, and asp (activeserver pages) as a typical server-side web design technology that will script, hypertext, and powerful database access functions together, set a simple, efficient, and easy scalability in one. therefore, its free internet-based source code very much, many enterprises and institutions to download them directly as their website, also there is a flawed source, hundreds of websites have been affected by the phenomenon, there are some programmers lack of principle for the asp site and the means of background knowledge of the invasion, the design of the site there are significant security risks.keywords:asp;site security;security vulnerabilities;preventive strategies随着互联网的迅速发展，为了能更好地更充分地使用好互联网这个世界上最大的交流平台，许多单位竞相建设了自己的网站。在web数据库访问的多种技术中，asp以其开发周期短、存取数据库方便、执行效率高而成为众多网站程序员的首选开发技术。asp是microsoft公司推出的一种用以取代cgi通用网关接口的技术，英文全称active server pages，动态服务器网页。它是一个web服务器端的运行环境。asp本身包含了vbscript和javascript引擎，使得脚本可以直接嵌入html中。asp动态网站的安全问题是个值得网站设计者和管理者重视的问题。一、asp在网络安全上的优点asp脚本是使用vbscript，javascript或jscript脚本语言编写的，与标准html页面混合在一起的脚本所构成的文本格式的文件。当web浏览器向web服务器发出http请求，访问asp文件时，web服务器判断出该请求的asp文件含有“”和“”后，调用asp。dll，进行语法分析、解释执行，然后将最终结果转换成为标准的html格式内容，返回给web浏览器，由web浏览器显示。这是一次完整的asp执行过程。asp在网络安全方面主要有以下优点：（一）不泄漏源代码。相比客户端执行的javascript程序，asp在网络安全上的优点之一是用户不能看到asp源程序。因为传到浏览器端的只是转换成html语言的结果。这一点既维护了asp开发人员的版权，又维护了网站系统的安全。（二）支持虚拟目录。虚拟目录的建立在网络安全上有重要意义。因为虚拟目录方式可以隐藏站点目录结构。而站点目录结构的暴露，往往是导致系统受到攻击的第一步。而且网站源代码不需要任何修改，就可以搬迁到另一台服务器上正常运行，另外，管理员可以对虚拟目录设置不同的操作权限。从而方便管理，并且提高asp程序的安全性。二、asp网站的主要安全隐患（一）设计上的漏洞。有些网站在设计时存在利用网上的现成模板或代码公开的免费程序，有些asp网站设计人员将有特权的用户名、密码、数据库路径等直接写在程序中，为攻击者攻击系统提供了破解密码、下载数据库甚至登录到后台获取网站的管理权限等途径。（二）系统软件和管理上的漏洞。windows、linux等操作系统以及网站采用的数据库系统如access、sql server等存在有一定的安全漏洞；iis、注册表、特殊系统命令和文件夹的属性、用户名及用户权限、用户口令及生存期等安全设置，若处理不当，对网站的安全性影响较大。（三）后台管理用户使用安全问题。网站后台管理用户由于习惯和安全责任心等对网站的安全性也有很大的影响，如后台登录的用户名、密码过于简单有规律、密码使用期太长等易被破解；密码保存问题、后台管理计算机系统有木马和计算机病毒容易造成密码泄露等。三、对asp安全隐患的防范策略目前，大多数网站上的asp程序有很多安全漏洞，但如果编写程序的时候注意一点的话，还是可以避免的。（一）源程序泄露的防范。当存在asp的主页正在制作且没有进行最后调试完成以前，可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找，会得到有关文件的定位，并能在浏览器中查看到数据库地点和结构的细节，并以此揭示完整的源代码。因此，程序员应该在网页发布前对它进行彻底的调试；安全专家则需要加固asp文件以便外部的用户不能看到它们。首先对。inc文件内容进行加密，其次也可以使用。asp文件代替。inc文件使用户无法从浏览器直接观看文件的源代码。inc文件的文件名不要使用系统默认的或者有特殊含义容易被用户猜测到的名称，尽量使用无规则的英文字母。（二）防止验证被绕过。现在需要经过验证的asp程序大多是在页面头部加一个判断语句，但这还不够，有可能被黑客绕过验证直接进入。因此，对于这类问题的防范，需要经过验证的asp页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。（三）用户名与口令破解的防范。用户名与口令，往往是黑客们最感兴趣的东西，如果被通过某种方式看到源代码，后果是严重的。因此，涉及用户名与口令的程序最好封装在服务器端，尽量少在asp文件里出现，涉及与数据库连接的用户名与口令应给予最小的权限。出现次数多的用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及与数据库连接，在理想状态下只给它以执行存储过程的权限，千万不要直接给予该用