ASP网站漏洞解析与黑客入侵防范探究

摘要；在分析ASP技术及其主要的技术特点基础上，探讨了ASP漏洞产生的典型原因及黑客入侵的关键防范技术措施。同时，从ASP站点遭受木马攻击的应对以及Session入侵防范两个方面分析了ASP网站漏洞的相关防范技术方法，形成了相对完善的黑客入侵防范技术体系。

关键词：ASP；漏洞；黑客防范

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）07-0051-02

在当前Internet与Intranet技术快速发展以及广泛应用的基础上，ASP技术作为Windows环境下首选的网站开发与编程技术，其已经受到相关技术人员的重视。虽然ASP技术具有诸多的优点，但是其在实际的开发应用过程中一直受到漏洞较多的影响，导致构建的网页存在一定的安全隐患。所以，有必要分析导致ASP网络安全漏洞的主要原因，并提出对应的安全技术措施，保证网页的安全性，避免给黑客留下可乘之机。

1ASP技术及其技术特点

1.1ASP技术的定义

ASP即为Active Server Pages，其中文意思就是“动态服务器页面”。ASP时替代CGI脚本程序而开发的一种编程应用程序，其可以将数据库和其他的程序相互的交替使用，逐步发展成为了当前广泛应用的一种简单。便捷的编程工具。c其他的编程工具相比，ASP具有简单易学，而且由于其是微软公司开发，能够与Windows系统良好兼容，具有良好的软件生态环境，因此其得到了广泛的应用。但是，其也存在一定的问题，就是其缺陷和漏洞较多，导致其在实际的应用过程中存在较大的安全隐患，需要在编程过程中予以关注，以保证网站的安全稳定。

1.2ASP技术的主要特点

ASP技术的主要特点包括这样三个方面：其一，服务器上的ASP通过其解释程序实现对服务器端ASP程序的执行，使得其产生的结果可以HTML的格式向客户端的浏览器发送过去，是得所有的终端浏览器都能够从ASP获得数据，实现浏览器功能；其二，由于ASP在实现该功能时是通过执行服务器中的相关命令而实现的，然后通过将ASP产生的结果以HITML格式传递至浏览器当中，因此应用者并不能够观察得到应用ASP编写的原始代码程序，能够有效避免代码被不法人员窃取；其三，ACCESS与SQL数据库之间能够进行快捷的数据连接，这使得ASP网页的响应速度较快，提高了系统的使用体验。

2ASP漏洞产生的关键原因及黑客入侵防范措施

2.1ASP漏洞产生关键原因

在设计网站过程中，为了能够对资源进行充分利用，一台服务器上通常设置了多个网站。而所有的网站都是由管理人员自主开发设计的，其代码的安全性与管理员自身的开发水平直接相关。有的则是直接购买的商用软件，与自主开发的软件相比，其安全性较佳，而且补丁更新也更快。部分则是在网上直接下载免费版本，导致网站代码的安全性差，甚至下载的软件被人植入了后门。这些因素使得网站的代码来源极为复杂，使得开发人员的水平成为了影响站点安全性的主要因素。因此，想要从外部预防所有存在的代码漏洞基本不可能，而只能够内部加以考虑。这时，若黑客进入网站，并在其中植入木马，如何才能将其破坏力降至最低？

在实际的应用过程中，一般使用设置权限的方式来达到该目的。所谓计算机操作系统权限是指不同的用户账户对不同类型的文件、文件夹以及注册表的访问能力是不同，通过设置不同类型的用户群体减少出现风险的概率。例如，一个系统默认的匿名账户为IUSR，其是在Users用户组中构建的账号，通常情况下，服务器上网站的身份均为IUSR。当其中的网站遭到黑客入侵之后，受到Users权限组的限制，能够将其破坏限制在较小的区间范围中。

2.2ASP网站黑客入侵防范措施分析

2.2.1新建账户殛指定网站的启动账户

任何一个网站都与一个启动账户相对应，在后期的维护和管理过程中，需要对这些账户进行统一的权限操作和管理，在账户构建过程中，若采取对注册表访问权限进行设置的方式，还需要采取新建用户组的方式，例如重新构建IIS_guests用户组，将同类型的所有账号都加入其中。具体的操作为：在IIS管理器当中添加网站，在弹出的选项卡当中点击“传递身份证验证”中的“连接为”按钮，然后选择对应的用户，确认设置，并将构建的用户名及对应的密码输入，确定即可。在建站完成之后，系统将给每一个站点都自动的构建一个相应的应用程序池，其具体的运行身份即为之初构建的账户，即每个应用程序池都与一个IIS工作进程相对应，每一个在任务管理器中的网站就对应一个进程。通常，在一个ASP网站中，就完成了一个网站启动账户的设置。通过完成后续操作，就能够完成所有的站点安全构建；

1）如果ASP站点的开发是在非.Net4.0框架下进行的，则需要将所有应用程序池的托管模式从之前默认的“集成”修改成为“经典”的模式；2）将网站中的IIS设置项的“模拟”选项设置为启动；3）最后，需要设置对应的，账户读写权限，完成启动账户的设置，使用如下代码实现：“C：＼Windows＼＼Framework＼v2.0.50727＼Temporary Files”。

2.2.2设置文件和文件夹的访问权限

新建的账户通常都是authenticated users用户组，而authenticated users又是Users用户组，所以及时将新建的用户从Users用户组当中删除，该账户依然具有在Users组中的所有权限。因此，为了更进一步的避免黑客入侵该网站对网站服务器中的相关文件造成破坏，还需要对文件和文件夹的访问权限进行对应的设置：其一，将系统中所有盘符根权限中的Users用户组以及everyone用户组的权限都删除，以免由于指定网站的启动账户默认具有Users用户组的相关权限，使得黑客不能够看到服务器中盘符下的相关文件；其二，将所有存放网站目录的Users用户组权限删除，并将相应的启动账户读取程序添加至其中，通过这种方式使得只有启动账户才能够访问该站点中的相关文件；其三，针对access数据库文件以及能上传文件的文件夹添加相应的启动账户读写权限，保证用户登录网站时的安全性。