浅谈ａｓｐ技术的安全

《浅谈ａｓｐ技术的安全》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、浅谈ＡＳＰ技术的安全　　摘要:本文对Asp技术及用Asp技术的L标签，也可以直接存取数据库及使用无限扩充的ActiveX控件，因此在程序编制上要比HTML方便而且更富有灵活性。目前，IIS+ASP+SQL（或Access）方案已成为中小型企业构建自己网上信息系统的首选方案。虽然Asp具有快速开发能力，但Asp也存在很多不容忽视的安全漏洞。　　　　一、ASP程序设计安全技术　　　　Asp程序设计的安全主要涉及三个方面：Asp源代码的安全、Asp程序设计的安全和数据库安全。　　1.ASP源代码的安全：　　（1）保证ASP源码的安全的主要技术是Asp脚本加密技术。常

2、用方法有两种：一是ASP2DLL技术。其基本思想是利用VB6.0提供的Activexdll对象将Asp代码进行封装，编译为DLL文件，在Asp程序中调用该DLL文件。二是利用微软提供的ScriptEncoder加密软件对Asp页面进行加密。　　（2）置合适的脚本映射。应用程序的脚本映射保证了D5算法来加密用户输入的密码,可以保证在线路被窃听的情况下依然保证数据的安全，保护用户口令的安全。　　（2）注册验证。为了网站资源的安全性和易于管理，可以对用户进行分级，给定权限，使特定用户访问特定的资源群，也可以阻止未授权用户使用网站的资源，这就需要对用户进行注册验证操作

3、。在ASP中，我们可以利用Session对象和Http头信息来实现此类安全控制。当访问者通过身份验证页面后，就把Session对象的Sessionid属性作为一个Session变量存储起来，当访问者试图导航到一种有效链接的页面时，可将当前的Sessionid与存储在Session对象中的ID进行比较，如果不匹配，则拒绝访问。如在Session（“id”）中保存着第一次链接的Sessionid，<%ifsession.sessionidsession(“id”)thenresponse.end%>’拒绝访问。　　（3）网页过期管理。考虑到有可能用户在

4、使用网页的过程中，有可能会长时间离开计算机处理别的事情，这样会给别有用心的人有可乘之机，所以应该给网页一个过期时间。这样不仅保证了用户的安全，也可以减少服务器的链接数，减少服务器压力。可以使用session.timeout=时间，过了这么长时间网页就失效了，前提是你用一个session值来判断登录状态如session.timeout=20。　　（4）页面缓冲管理：页面缓冲可以加快网站的浏览速度，但也会给非法用户提供了越权浏览的机会。因此，重要的db的后缀名，而应该用*.asp，*.inc文件的后缀名，这样，即使数据库路径即使被别人发现，也不能下载数据库而导致信

5、息的不安全。　　（2）SQLSERER数据库：首先应更改sa口令，取消guest帐号。并且不能把sa帐号的密码写在应用程序或者脚本中。其次，应加强数据库访问日志的监视，定期备份数据库。同时，制订完整的数据库备份策略，在必要的时候能够实现对数据库的恢复。　　（3）屏蔽数据库路径信息。为防止数据库路径和名称随ASP源代码失密而失密，常使用ODBC数据源。使用ODBC数据源连接数据库的命令是Conn.open“DSN名”。　　二、S最新漏洞的补丁，将可能发生的安全隐患减到最少。　　2．IIS的安全　　（1）不要将IIS安装在系统分区上　　默认情况下，IIS与操作系统

6、安装在同一个分区中，这是一个潜在的安全隐患。因为一旦入侵者绕过了IIS的安全机制，就有可能入侵到系统分区。如果管理员对系统文件夹、文件的权限设置不是非常合理，入侵者就有可能篡改、删除系统的重要文件，或者利用一些其他的方式获得权限的进一步提升。将IIS安装到其他分区，即使入侵者能绕过IIS的安全机制，也很难访问到系统分区　　（2）修改IIS的安装默认路径　　IIS的默认安装的路径是ipub，L)、SMTPService和NNTPService、样本页面和脚本，大家可以根据自己的需要决定是否删除。　　　　三、结束语　　　　Asp环境下的安全问题应从系统的全局进行

7、分析和考虑，既要保证系统安全，又要取得良好的系统性能。本文从服务器端、、Asp程序设计两个方面对Asp安全技术进行分析和总结，但随着新的攻击手段和方法不断涌现，要构建一个面面俱到的安全体系是很困难的，因为一种技术只能解决一或几个方面的问题。因此，Asp的安全应侧重于预防，规范自己的编程习惯，及时地堵上系统漏洞，定期进行风险评估，安装入侵检测系统等预防措施能及时有效地进行入侵防范。　　　　参考