开篇:润墨网以专业的文秘视角,为您筛选了一篇关于ASP网站设计安全性探讨范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
论文关键词:asp;黑客攻击;sql注入;安全漏洞;木马 后门
论文摘要:网络上的动态网站以asp为多数,我们学校的网站也是asp的。笔者作为学校网站的制作和维护人员,与asp攻击的各种现象斗争了多次,也对网站进行了一次次的修补,根据工作经验,就asp网站设计常见安全漏洞及其防范进行一些探讨。本文结合 asp 动态网站开发经验,对asp 程序设计存在的信息安全隐患进行分析,讨论了asp 程序常见的安全漏洞,从程序设计角度对 web信息安全及防范提供了参考。
1网络安全总体状况分析
2007年1月至6月期间,半年时间内,cncert/cc接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和12.5%。
从cncert/cc掌握的半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,也不排除放置恶意代码的可能。对中小企业,尤其是以网络为核心业务的企业,采用有组织的分布式拒绝服务攻击(ddos)等手段进行勒索,影响企业正常业务的开展。对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产。
2 用iis+asp建网站的安全性分析
微软推出的iis+asp的解决方案作为一种典型的服务器端网页设计技术,被广泛应用在网上银行、电子商务、网上调查、网上查询、bbs、搜索引擎等各种互联网应用中。但是,该解决方案在为我们带来便捷的同时,也带来了严峻的安全问题。本文从 asp 程序设计角度对 web 信息安全及防范进行分析讨论。
3 sp安全漏洞和防范
3.1 程序设计与脚本信息泄漏隐患
bak 文件。攻击原理:在有些编辑asp程序的工具中,当创建或者修改一个asp文件时,编辑器自动创建一个备份文件,如果你没有删除这个bak文件,攻击者可以直接下载,这样源程序就会被下载。
防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以bak为后缀的文件要特别小心。
inc文件泄露问题。攻击原理:当存在asp的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。
防范技巧:程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件,使用户无法从浏览器直接观看文件的源代码。
3.2 对asp页面进行加密。为有效地防止asp源代码泄露,可以对asp页面进行加密。我们曾采用两种方法对asp页面进行加密。一是使用组件技术将编程逻辑封装入 dll之中;二是使用微软的script encoder对asp页面进行加密。
3.3 程序设计与验证不全漏洞
验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览web,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而可以解决这个问题。
登陆验证。对于很多网页,特别是网站后台管理部分,是要求有相应权限的用户才能进入操作的。但是,如果这些页面没有对用户身份进行验证,黑客就可以直接在地址栏输入收集到的相应的 url 路径,避开用户登录验证页面,从而获得合法用户的权限。所以,登陆验证是非常必要的。
sql 注入。sql注入是从正常的/">论坛,同学录等网站系统都提供了文件上传功能,但在网页设计时如果缺少对用户提交参数的过滤,将使得攻击者可以上传网页木马等恶意文件,导致攻击事件的发生。
防文件上传漏洞
在文件上传之前,加入文件类型判断模块,进行过滤,防止asp、asa、cer等类型的文件上传。
暴库。暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。
数据库可能被下载。在iis+asp网站中,如果有人通过各种方法获得或者猜到数据库的存储路径和文件名,则该数据库就可以被下载到本地。
数据库可能被解密
由于access数据库的加密机制比较简单,即使设置了密码,解密也很容易。因此,只要数据库被下载,其信息就没有任何安全性可言了。
防止数据库被下载 。由于access数据库加密机制过于简单,有效地防止数据库被下载,就成了提高asp+access解决方案安全性的重中之重。以下两种方法简单、有效。
非常规命名法。为access数据库文件起一个复杂的非常规名字,并把它放在几个目录下。
使用odbc数据源。在asp程序设计中,如果有条件,应尽量使用odbc数据源,不要把数据库名写在程序中,否则,数据库名将随asp源代码的失密而一同失密。
使用密码加密。经过md5加密,再结合生成图片验证码技术,暴力破解的难度会大大增强。
使用数据备份。当网站被黑客攻击或者其它原因丢失了数据,可以将备份的数据恢复到原始的数据,保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。
3.5 sp木马
由于asp它本身是服务器提供的一项服务功能,所以这种asp脚本的木马后门,不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
技巧1:杀毒软件查杀
一些非常有名的asp木马已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。
技巧2:ftp客户端对比
asp木马若进行伪装,加密,躲藏杀毒软件,怎么办?
我们可以利用一些ftp客户端软件(例如cuteftp,flashfxp)提供的文件对比功能,通过对比ftp的中的web文件和本地的备份文件,发现是否多出可疑文件。
技巧3:用beyond compare 2进行对比
渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。 beyond compare 2这时候就会作用比较明显了。
技巧4:利用组件性能找asp木马
如:思易asp木马追捕。
大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。
结束语
总结了asp木马防范的十大原则供大家参考:
建议用户通过ftp来上传、维护网页,尽量不安装asp的上传程序。
对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。
asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
要尽量保持程序是最新版本。
不要在网页上加注后台管理程序登陆页面的链接。
为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过上传即可。
要时常备份数据库等重要文件。
日常要多维护,并注意空间中是否有来历不明的asp文件。
一旦发现被人侵,除非自己能识别出所有木马文件,否则要删除所有文件。重新上传文件前,所有asp程序用户名和密码都要重置,并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。
做好以上防范措施,您的网站只能说是相对安全了,决不能因此疏忽大意,因为入侵与反入侵是一场永恒的战争!网站安全是一个较为复杂的问题,严格的说,没有绝对安全的网络系统,我们只有通过不断的改进程序,将各种可能出现的问题考虑周全,对潜在的异常情况进行处理,才能减少被黑客入侵的机会。
参考文献
[1]袁志芳 田晓芳 李桂宝《asp程序设计与 web信息安全》 中国教育信息化2007年21期.
[2] 陈明奇 《2007年上半年网络安全状况分析》信息网络安全2007年第10期
[3] 《防范asp木马的十大基本原则》 计算机与网络,2006年第1期