ASP网站常见漏洞及防范方法浅析

时间:2022-02-28 06:06:00

ASP网站常见漏洞及防范方法浅析

摘要:介绍利用asp开发动态网站时存在的常见漏洞,比如用户密码漏洞、数据库下载漏洞、非法文件上传漏洞等,浅析漏洞产生的原因并给出了解决办法。

关键词:ASP漏洞;入侵防范;网站安全

1 用户名与口令被破解

1.1 攻击原理

用户名与口令,黑客们往往可以通过啊D、明小子等软件暴力破解。特别要记住限制万能密码('or'='or')的使用。

1.2 防范技巧

涉及用户名与口令的程序最好封装在服务器端,尽量少在ASP文件里出现, 涉及与数据库连接的用户名与口令应给予最小的权限。只给它存储的权限,千万不要直接给予该用户修改、插入、删除记录的权限。再则,为了防止万能密码的使用,我们需加入以下代码:

{if(document.UserLogin.Name.value =="")

{alert("请填写您的用户名!");

document.UserLogin.Name.focus();

return false;}

var filter=/^\s*[.A-Za-z0-9_-]{5,15}\s*$/;

if(!filter.test(document.UserLogin.name.value)) {

alert("用户名填写不正确,请重新填写!可使用的字符为(A-Z a-z 0-9 _ - .)长度不小于5个字符,不超过15个字符,注意不要使用空格。");

document.UserLogin.Name.focus();

document.UserLogin.Name.select();

return false; }

if(document.UserLogin.Pwd.value =="")

{alert("请填写您的密码!");

document.UserLogin.Pwd.focus();

return false; }

var filter=/^\s*[.A-Za-z0-9_-]{5,15}\s*$/;

if(!filter.test(document.UserLogin.Pwd.value)) {

alert("密码填写不正确,请重新填写!可使用的字符为(A-Z a-z 0-9 _ - .)长度不小于5个字符,不超过15个字符,注意不要使用空格。");

document.UserLogin.Pwd.focus();

document.UserLogin.Pwd.select();

return false; }

loginForm.submit();

return true;}//-->

2 代码不够严格

2.1 攻击原理

将出现如下这些情况:

(1) 直接上传asp、asa、jsp、cer、php、aspx、htr、cdx之类的木马,拿到shell。

(2) 在上传时在后缀后面加空格或者加几个点,例如:*.asp ,*.asp..。

(3) 利用双重扩展名上传,例如:*.jpg.asa格式(也可以配上第二点一起利用)。

(4) gif文件头欺骗,gif89a文件头检测是指程序为了他人将asp等文件后缀改为gif后上传,读取gif文件头,检测是否有gif87a或gif89a标记,是就允许上传,不是就说明不是gif文件。而欺骗刚好是利用检测这两个标记,只要在木马代码前加gif87a就能骗过去。

2.2 防范技巧

如果你的网站支持文件上传,要特别注意asp网站上传代码的分析以防上传文件的扩展名过滤不严。一定要设定好你要上传的文件格式。最好在上传程序里做一次验证,那么你的上传程序安全性将会大大提高。如下代码只允许上传gif、jpg、jpeg、bmp、png、doc、txt、swf的文件。代码如下:

'声明文件类型

Dim filesext

filesext="gif,jpg,jpeg,bmp,png,doc,txt,swf"

If Request.QueryString("action")="Upload" Then Server.ScriptTimeOut=999999

'判断文件类型是否合格

Private Function CheckFileExt (fileEXT)

dim Forumupload

Forumupload=split(filesext,",")

for i=0 to ubound(Forumupload)

if lcase(fileEXT)=lcase(trim(Forumupload(i))) then CheckFileExt=true

exit Function

else CheckFileExt=false

end if

next

End Function

综上所述,我们认识到asp网站存在着一些基本漏洞,这些漏洞通过我们的学习是可以避免的。此外,我们还一定要清醒认识网络的脆弱性和信息安全的潜在威胁,对于网站的服务器要积极采取有力的安全管理和策略,这些对于网站的正常运行是非常有必要的。

――――――――――

参考文献

[1]龙马工作室.asp+access网站开发实例精讲[M].北京:人民邮电出版社,2007.2.

2007年福建省大学生创新性实验项目,课题名称:网络攻防技术的研究与实践。

上一篇:Vega软件中利用Lynx进行二次开发 下一篇:网络工程项目教学模式改革之我见