ASP的网站设计安全防范问题研究

摘 要：目前，用于网页设计的开发工具很多，而ASP（ActiveServer Pages）作为一种典型的服务器端网页设计技术，它将脚本、超文本和强大的数据库访问功能融合在一起，集简单性、高效性和易扩展性于一身。所以互联网上基于它的免费源码非常之多，许多企事业单位将其下载直接用作自己的网站，也就出现了一个源码有漏洞，成百上千个网站被波及的现象，也有一些程序员缺乏对于ASP网站后台入侵原理及其手段的了解，设计的网站存在重大的安全隐患。

关键词：ASP；网站安全；安全漏洞；防范策略

中图分类号：TP393.092 文献标识码：A 文章编号：1674-7712 （2013） 04-0080-01

随着互联网的迅速发展，为了能更好地更充分地使用好互联网这个世界上最大的交流平台，许多单位竞相建设了自己的网站。在Web数据库访问的多种技术中，ASP以其开发周期短、存取数据库方便、执行效率高而成为众多网站程序员的首选开发技术。

一、ASP在网络安全上的优点

ASP脚本是使用VBScript，JavaScript或JScript脚本语言编写的，与标准HTML页面混合在一起的脚本所构成的文本格式的文件。当Web浏览器向Web服务器发出HTTP请求，访问ASP文件时，Web服务器判断出该请求的ASP文件含有“”后，调用ASP。DLL，进行语法分析、解释执行，然后将最终结果转换成为标准的HTML格式内容，返回给Web浏览器，由Web浏览器显示。这是一次完整的ASP执行过程。ASP在网络安全方面主要有以下优点：

（一）不泄漏源代码

相比客户端执行的JavaScript程序，ASP在网络安全上的优点之一是用户不能看到ASP源程序。因为传到浏览器端的只是转换成HTML语言的结果。这一点既维护了ASP开发人员的版权，又维护了网站系统的安全。

（二）支持虚拟目录

虚拟目录的建立在网络安全上有重要意义。因为虚拟目录方式可以隐藏站点目录结构。而站点目录结构的暴露，往往是导致系统受到攻击的第一步。而且网站源代码不需要任何修改，就可以搬迁到另一台服务器上正常运行，另外，管理员可以对虚拟目录设置不同的操作权限。从而方便管理，并且提高ASP程序的安全性。

二、ASP网站的主要安全隐患

ASP网站由于系统软件的漏洞、计算机病毒、网站设计人员的水平、维护人员的水平和责任心、后台管理用户的习惯和安全责任心等各类因素，都可能对网站的正常运行、网站信息的安全可靠性带来一定的影响，主要的安全隐患有：

（一）设计上的漏洞

有些网站在设计时存在利用网上的现成模板或代码公开的免费程序，有些ASP网站设计人员将有特权的用户名、密码、数据库路径等直接写在程序中，为攻击者攻击系统提供了破解密码、下载数据库甚至登录到后台获取网站的管理权限等途径。

（二）系统软件和管理上的漏洞

Windows、Linux等操作系统以及网站采用的数据库系统如Access、SQL SERVER等存在有一定的安全漏洞；IIS、注册表、特殊系统命令和文件夹的属性、用户名及用户权限、用户口令及生存期等安全设置，若处理不当，对网站的安全性影响较大。

（三）后台管理用户使用安全问题

网站后台管理用户由于习惯和安全责任心等对网站的安全性也有很大的影响，如后台登录的用户名、密码过于简单有规律、密码使用期太长等易被破解；密码保存问题、后台管理计算机系统有木马和计算机病毒容易造成密码泄露等。

三、对ASP安全隐患的防范策略

目前，大多数网站上的ASP程序有很多安全漏洞，但如果编写程序的时候注意一点的话，还是可以避免的。

（一）源程序泄露的防范

当存在ASP的主页正在制作且没有进行最后调试完成以前，可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找，会得到有关文件的定位，并能在浏览器中查看到数据库地点和结构的细节，并以此揭示完整的源代码。因此，程序员应该在网页前对它进行彻底的调试；安全专家则需要加固ASP文件以便外部的用户不能看到它们。首先对。inc文件内容进行加密，其次也可以使用。ASP文件代替。inc文件使用户无法从浏览器直接观看文件的源代码。inc文件的文件名不要使用系统默认的或者有特殊含义容易被用户猜测到的名称，尽量使用无规则的英文字母。

（二）防止验证被绕过

现在需要经过验证的ASP程序大多是在页面头部加一个判断语句，但这还不够，有可能被黑客绕过验证直接进入。因此，对于这类问题的防范，需要经过验证的ASP页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。

（三）用户名与口令破解的防范

用户名与口令，往往是黑客们最感兴趣的东西，如果被通过某种方式看到源代码，后果是严重的。因此，涉及用户名与口令的程序最好封装在服务器端，尽量少在ASP文件里出现，涉及与数据库连接的用户名与口令应给予最小的权限。出现次数多的用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及与数据库连接，在理想状态下只给它以执行存储过程的权限，千万不要直接给予该用户修改、插入、删除记录的权限。

（四）数据库下载漏洞

在用Access做后台数据库时，如果有人通过各种方法知道或者猜到了服务器的Access数据库的路径和数据库名称，那么他也能够下载这个Access数据库文件，这是非常危险的。

四、结语

安全问题是任何网络程序开发所需要关注的首要问题，基于ASP的网站，由于其自身的脆弱，更需要对安全性问题给予足够的重视。虽然针对网站的攻击越来越频繁，安全问题给网站管理员造成了很大的压力。但是我们也不必恐慌，只要我们了解了攻击原理，就一定可以找到对付他们的方案。

参考文献：

[1]张文增等.ASP网站安全研究[J].计算机工程，2002（3）.

[2]赵学作.ACCESS数据库安全策略[J].网管员世界，2007（6）.

[3]袁晓舟.ASP平台安全认证技术的研究与实现[J].计算机集成制造系统，2005（12）.