基于ASP网站的安全防范

摘要：随着计算机技术和网络技术的发展， ASP(Active Server Pages)作为一种典型的服务器端网页设计技术， 被广泛地应用在各种互联网应用中。而动态网的安全问题日益突显，安全问题备受关注。该文先分析了ASP动态网存在的安全隐患，然后针对这些安全隐患，提出了相应的安全保护方案，从而为网站的数据安全提供保障。

关键词：ASP网站；安全；防范措施

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)33-1342-03

Security Countermeasure on Website with ASP

HU Sai

(Hunan Biological and Electromechanical Polytechnic,Changsha 410127,China)

Abstract: Along with the computer technology and networking's development, ASP (Active Server Pages) takes one kind of typical server end homepage design technique, widely is applied in each kind of Internet application. But the dynamic net's security problem underlines day by day, the security problem receives the attention. This article has analyzed the ASP dynamic net existence safe hidden danger first, then in view of these safe hidden dangers, proposed the corresponding safekeeping of security plan, thus provides the safeguard for the website data security.

Key words: ASP website; security;countermeasure

随着互联网的迅速发展，为了能更好地更充分地使用好互联网这个世界上最大的交流平台，许多单位竞相建设了自己的网站。在Web 数据库访问的多种技术中，ASP以其开发周期短、存取数据库方便、执行效率高而成为众多网站程序员的首选开发技术。ASP是Microsoft公司推出的一种用以取代CGI通用网关接口的技术，英文全称Active Server Pages，动态服务器网页。它是一个Web服务器端的运行环境。ASP本身包含了VBScript 和Javascript引擎，使得脚本可以直接嵌入HTML中。ASP的主要特性是能够把脚本、HTML、组件和强大的Web数据库访问功能结合在一起，形成一个能在服务器上运行的应用程序，并按用户的要求专门制作的HTML页面传送给客户端浏览器。但是，ASP虽然提供了强大的功能和较高的安全性能，不经意间，也有可能由于网站设计者和程序员的疏忽大意，或者由于网站管理员的水平和经验的不足，网站可能随时暴露出许多漏洞，给非法入侵者造成可乘之机，使网站处于风口浪尖，随时有可能受到来自网内网外的各种攻击，给网站带来麻烦，特别是一些与金融有关的网站，不仅拥有网站的企业遭受损失，甚至连累到客户也遭到严重的经济损失。所以说，ASP动态网站的安全问题是个值得网站设计者和管理者重视的问题。

1 存在的安全隐患

1.1 账号和密码的隐患

账号和密码是网站的第二道安全防线。入侵者一旦得到后台登录界面，他就要想法设法获得超级用户的账号和密码。由于网站管理员疏忽或技术水平不过关，账号和密码也有泄露的可能。账号和密码一旦被入侵者窃取，网站就完全被入侵者控制。

1.2 Access库文件的隐患

1.2.1 Access 数据库访问密码的隐患

账户和密码泄露的原因除了网站管理员保管不力外，很大程度与Access库文件有关。由于Access数据库的加密机制非常简单，即使数据库设置了密码，解密也很容易。该数据库系统通过将用户输入的密码与某一固定密钥进行异或来形成一个加密串，并将其存储在3.mdb 文件从地址“&H42”开始的区域内。由于异或操作的特点是经过2次异或就能恢复原值，因此，用这一密钥与3. mdb 文件从地址“&H42”开始区域内的加密串进行第2次异或操作，可以轻松地得到任何Access 数据库的密码。

1.2.2 Access 数据库被下载的隐患

在ASP + Access 网上应用系统中，如果有人通过各种方法获得或者猜到Access 数据库的存储路径和数据库名，则该数据库就可以被下载到本地。只要在浏览器地址栏中敲入“URL/ 目录名/ 文件名”，就可以把数据库轻松下载到本地。

1.3 不检测用户输入造成的隐患

有些ASP网站输入框不过滤HTML 和JavaScript 语句，利用这个安全漏洞，用户可以写入一些可执行的ASP代码，可造成其他用户的浏览器因死循环而死掉，甚至可以删除服务器上的一些重要文件。

1.4 绕过权限验证程序的隐患

在程序开发中，要经常编写ASP 代码设置权限验证，使不同类别的用户具有不同级别的操作权限。比如，对于程序中的留言系统， 普通用户可以留言和查看留言的回复，而管理员可以对留言进行更多的操作，如删除、回复、组合查询等。对于安全性不强的系统， 用户在知道相关页面目录的情况下，可以通过在浏览器中敲入相应的地址，绕过验证直接进入该页面，用户只需直接在浏览器端敲入“服务器主机名/相对路//liuyan.asp"就可以饶过权限验证。

1.5 ASP 源程序的隐患

由于ASP 程序采用的是非编译性语言，这大大降低了程序源代码的安全性。任何人只要进入站点，点击“查看”――“源文件”，就可以获得源代码，从而造成ASP 应用程序源代码的泄露。

1.6 木马的隐患

入侵者一般是通过ASP程序上传功能的漏洞进入后台上传ASP木马程序。当木马一旦上传上去就有可能取得网站的管理权限， 修改或删除文件、数据库， 篡改网站的主页。因此ASP木马的防范也尤为重要。

2 关于安全的防范措施

2.1 关于账号和密码隐患

账号和密码的泄露，一是通过猜测被入侵者获得，二是管理员的疏忽所致。大家知道，UNIX 操作系统的超级用户账号是root，Windows操作系统的超级用户账号Administrator，所以很多程序员都习惯为管理员起名为类似与root、Administrator、Admin 等账号，这样的账号非常不安全，很容易被人猜测到。而管理员为了方便自己记忆，有可能是把账号和密码写在某个不保密的地方，这样泄露的可能性比较大；或者是管理员在输入时被别有用心的人看见了，也或者是入侵者在管理员登录的那台电脑中，用密码破解技术获取到账号和密码（这是因为Cookie会记录账号和密码）。为了保证账号和密码的安全，网站程序员在起名的时候，要起一个安全性较高的账号名字，这个名字千万不能只是数字或者只是英文字母，而是以英文字母开始的英文、数字和一些字符的组合，并且尽量长度要超过6个字符以上。除此之外，管理员不要轻易在别的电脑上登录后台管理界面。