ASP网站设计安全性管理Word格式文档下载.docx

上传人:b****1 文档编号:1001029 上传时间:2023-04-30 格式:DOCX 页数:5 大小:19KB
下载 相关 举报
ASP网站设计安全性管理Word格式文档下载.docx_第1页
第1页 / 共5页
ASP网站设计安全性管理Word格式文档下载.docx_第2页
第2页 / 共5页
ASP网站设计安全性管理Word格式文档下载.docx_第3页
第3页 / 共5页
ASP网站设计安全性管理Word格式文档下载.docx_第4页
第4页 / 共5页
ASP网站设计安全性管理Word格式文档下载.docx_第5页
第5页 / 共5页
亲,该文档总共5页,全部预览完了,如果喜欢就下载吧!
下载资源
资源描述

ASP网站设计安全性管理Word格式文档下载.docx

《ASP网站设计安全性管理Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《ASP网站设计安全性管理Word格式文档下载.docx(5页珍藏版)》请在冰点文库上搜索。

ASP网站设计安全性管理Word格式文档下载.docx

  程序设计与脚本信息泄漏隐患

  bak文件。

攻击原理:

在有些编辑ASP程序的工具中,当创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,如果你没有删除这个bak文件,攻击者可以直接下载,这样源程序就会被下载。

  防范技巧:

上传程序之前要仔细检查,删除不必要的文档。

对以BAK为后缀的文件要特别小心。

  inc文件泄露问题。

当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。

如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。

程序员应该在网页发布前对它进行彻底的调试。

首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件,使用户无法从浏览器直接观看文件的源代码。

  对ASP页面进行加密。

为有效地防止ASP源代码泄露,可以对ASP页面进行加密。

我们曾采用两种方法对ASP页面进行加密。

一是使用组件技术将编程逻辑封装入DLL之中;

二是使用微软的ScriptEncoder对ASP页面进行加密。

程序设计与验证不全漏洞

  验证码。

普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览WEB,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。

而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而可以解决这个问题。

  登陆验证。

对于很多网页,特别是网站后台管理部分,是要求有相应权限的用户才能进入操作的。

但是,如果这些页面没有对用户身份进行验证,黑客就可以直接在地址栏输入收集到的相应的URL路径,避开用户登录验证页面,从而获得合法用户的权限。

所以,登陆验证是非常必要的。

  SQL注入。

SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。

  SQL注入攻击是最为常见的程序漏洞攻击方式,引起攻击的根本原因就是盲目信任用户,将用户输入用来直接构造SQL语句或存储过程的参数。

以下列出三种攻击的形式:

  A.用户登录:

假设登录页面有两个文本框,分别用来供用户输入帐号和密码,利用执行SQL语句来判断用户是否为合法用户。

试想,如果黑客在密码文本框中输入'

'

OR0=0,即不管前面输入的用户帐号和密码是什么,OR后面的0=0总是成立的,最后结果就是该黑客成为了合法的用户。

  B.用户输入:

假设网页中有个搜索功能,只要用户输入搜索关键字,系统就列出符合条件的所有记录,可是,如果黑客在关键字文本框中输入'

GODROPbr用户表,后果是用户表被彻底删除。

  C.参数传递:

假设我们有个网页链接地址是HTTP:

//……asp?

id=22,然后ASP在页面中利用['

id'

]取得该id值,构成某SQL语句,这种情况很常见。

可是,如果黑客将地址变为HTTP:

id=22anduser=0,结果会怎样?

如果程序员有没有对系统的出错提示进行屏蔽处理的话,黑客就获得了数据库的用户名,这为他们的进一步攻击提供了很好的条件。

  解决方法:

以上几个例子只是为了起到抛砖引玉的作用,其实,黑客利用“猜测+精通的sql语言+反复尝试”的方式,可以构造出各种各样的sql入侵。

作为程序员,如何来防御或者降低受攻击的几率呢?

作者在实际中是按以下方法做的:

  第一:

在用户输入页面加以友好备注,告知用户只能输入哪些字符;

  第二:

在客户端利用ASP自带的校验控件和正则表达式对用户输入进行校验,发现非法字符,提示用户且终止程序进行;

  第三:

为了防止黑客避开客户端校验直接进入后台,在后台程序中利用一个公用函数再次对用户输入进行检查,一旦发现可疑输入,立即终止程序,但不进行提示,同时,将黑客IP、动作、日期等信息保存到日志数据表中以备核查。

  第四:

对于参数的情况,页面利用QueryString或者Quest取得参数后,要对每个参数进行判断处理,发现异常字符,要利用replace函数将异常字符过滤掉,然后再做下一步操作。

  第五:

只给出一种错误提示信息,服务器都只提示HTTP500错误。

  第六:

在IIS中为每个网站设置好执行权限。

千万别给静态网站以“脚本和可执行”权限。

一般情况下给个“纯脚本”权限就够了,对于那些通过网站后台管理中心上传的文件存放的目录,就更吝啬一点吧,执行权限设为“无”好了。

  第七:

数据库用户的权限配置。

对于MS_SQL,如果PUBLIC权限足够使用的绝不给再高的权限,千万不要SA级别的权限随随便便地给。

  传漏洞

  诸如论坛,同学录等网站系统都提供了文件上传功能,但在网页设计时如果缺少对用户提交参数的过滤,将使得攻击者可以上传网页木马等恶意文件,导致攻击事件的发生。

  防文件上传漏洞

  在文件上传之前,加入文件类型判断模块,进行过滤,防止ASP、ASA、CER等类型的文件上传。

  暴库。

暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。

  数据库可能被下载。

在IIS+ASP网站中,如果有人通过各种方法获得或者猜到数据库的存储路径和文件名,则该数据库就可以被下载到本地。

  数据库可能被解密

  由于Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。

因此,只要数据库被下载,其信息就没有任何安全性可言了。

  防止数据库被下载。

由于Access数据库加密机制过于简单,有效地防止数据库被下载,就成了提高ASP+Access解决方案安全性的重中之重。

以下两种方法简单、有效。

  非常规命名法。

为Access数据库文件起一个复杂的非常规名字,并把它放在几个目录下。

  使用ODBC数据源。

在ASP程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密。

  使用密码加密。

经过MD5加密,再结合生成图片验证码技术,暴力破解的难度会大大增强。

  使用数据备份。

当网站被黑客攻击或者其它原因丢失了数据,可以将备份的数据恢复到原始的数据,保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。

  木马

  由于ASP它本身是服务器提供的一项服务功能,所以这种ASP脚本的木马后门,不会被杀毒软件查杀。

被黑客们称为“永远不会被查杀的后门”。

我在这里讲讲如何有效的发现web空间中的asp木马并清除。

  技巧1:

杀毒软件查杀

  一些非常有名的asp木马已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。

  技巧2:

FTP客户端对比

  asp木马若进行伪装,加密,躲藏杀毒软件,怎么办?

  我们可以利用一些FTP客户端软件提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否多出可疑文件。

  技巧3:

用BeyondCompare2进行对比

  渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。

BeyondCompare2这时候就会作用比较明显了。

  技巧4:

利用组件性能找asp木马

  如:

思易asp木马追捕。

  大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。

  结束语

  总结了ASP木马防范的十大原则供大家参考:

  建议用户通过FTP来上传、维护网页,尽量不安装asp的上传程序。

  对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。

  asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。

  到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。

  要尽量保持程序是最新版本。

  不要在网页上加注后台管理程序登陆页面的链接。

  为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过上传即可。

  要时常备份数据库等重要文件。

  日常要多维护,并注意空间中是否有来历不明的asp文件。

  一旦发现被人侵,除非自己能识别出所有木马文件,否则要删除所有文件。

重新上传文件前,所有asp程序用户名和密码都要重置,并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。

  做好以上防范措施,您的网站只能说是相对安全了,决不能因此疏忽大意,因为入侵与反入侵是一场永恒的战争!

网站安全是一个较为复杂的问题,严格的说,没有绝对安全的网络系统,我们只有通过不断的改进程序,将各种可能出现的问题考虑周全,对潜在的异常情况进行处理,才能减少被黑客入侵的机会。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 求职职场 > 简历

copyright@ 2008-2023 冰点文库 网站版权所有

经营许可证编号:鄂ICP备19020893号-2