關(guān)于ＡＳＰ網(wǎng)站設(shè)計(jì)安全性探討

關(guān)于ＡＳＰ網(wǎng)站設(shè)計(jì)安全性探討

論文關(guān)鍵詞：ASP；黑客攻擊；SQL注入；安全漏洞；木馬后門

論文摘要：網(wǎng)絡(luò)上的動態(tài)網(wǎng)站以ASP為多數(shù)，我們學(xué)校的網(wǎng)站也是ASP的。筆者作為學(xué)校網(wǎng)站的制作和維護(hù)人員，與ASP攻擊的各種現(xiàn)象斗爭了多次，也對網(wǎng)站進(jìn)行了一次次的修補(bǔ)，根據(jù)工作經(jīng)驗(yàn)，就ASP網(wǎng)站設(shè)計(jì)常見安全漏洞及其防范進(jìn)行一些探討。本文結(jié)合ASP動態(tài)網(wǎng)站開發(fā)經(jīng)驗(yàn)，對ASP程序設(shè)計(jì)存在的信息安全隱患進(jìn)行分析，討論了ASP程序常見的安全漏洞，從程序設(shè)計(jì)角度對WEB信息安全及防范提供了參考。1網(wǎng)絡(luò)安全總體狀況分析

2007年1月至6月期間，半年時(shí)間內(nèi)，CNCERT/CC接收的網(wǎng)絡(luò)仿冒事件和網(wǎng)頁惡意代碼事件，已分別超出去年全年總數(shù)的14.6%和12.5%。

從CNCERT/CC掌握的半年情況來看，攻擊者的攻擊目標(biāo)明確，針對不同網(wǎng)站和用戶采用不同的攻擊手段，且攻擊行為趨利化特點(diǎn)表現(xiàn)明顯。對政府類和安全管理相關(guān)類網(wǎng)站主要采用篡改網(wǎng)頁的攻擊形式，也不排除放置惡意代碼的可能。對中小企業(yè)，尤其是以網(wǎng)絡(luò)為核心業(yè)務(wù)的企業(yè)，采用有組織的分布式拒絕服務(wù)攻擊(DDoS)等手段進(jìn)行勒索，影響企業(yè)正常業(yè)務(wù)的開展。對于個(gè)人用戶，攻擊者更多的是通過用戶身份竊取等手段，偷取該用戶游戲賬號、銀行賬號、密碼等，竊取用戶的私有財(cái)產(chǎn)。

2用IIS+ASP建網(wǎng)站的安全性分析

微軟推出的IIS+ASP的解決方案作為一種典型的服務(wù)器端網(wǎng)頁設(shè)計(jì)技術(shù)，被廣泛應(yīng)用在網(wǎng)上銀行、電子商務(wù)、網(wǎng)上調(diào)查、網(wǎng)上查詢、BBS、搜索引擎等各種互聯(lián)網(wǎng)應(yīng)用中。但是，該解決方案在為我們帶來便捷的同時(shí)，也帶來了嚴(yán)峻的安全問題。本文從ASP程序設(shè)計(jì)角度對WEB信息安全及防范進(jìn)行分析討論。

3SP安全漏洞和防范

3.1程序設(shè)計(jì)與腳本信息泄漏隱患

bak文件。攻擊原理：在有些編輯ASP程序的工具中，當(dāng)創(chuàng)建或者修改一個(gè)ASP文件時(shí)，編輯器自動創(chuàng)建一個(gè)備份文件，如果你沒有刪除這個(gè)bak文件，攻擊者可以直接下載，這樣源程序就會被下載。

防范技巧：上傳程序之前要仔細(xì)檢查，刪除不必要的文檔。對以BAK為后綴的文件要特別小心。

inc文件泄露問題。攻擊原理：當(dāng)存在ASP的主頁正在制作且沒有進(jìn)行最后調(diào)試完成以前，可以被某些搜索引擎機(jī)動追加為搜索對象。如果這時(shí)候有人利用搜索引擎對這些網(wǎng)頁進(jìn)行查找，會得到有關(guān)文件的定位，并能在瀏覽器中查看到數(shù)據(jù)庫地點(diǎn)和結(jié)構(gòu)的細(xì)節(jié)，并以此揭示完整的源代碼。

防范技巧：程序員應(yīng)該在網(wǎng)頁發(fā)布前對它進(jìn)行徹底的調(diào)試。首先對.inc文件內(nèi)容進(jìn)行加密，其次也可以使用.asp文件代替.inc文件，使用戶無法從瀏覽器直接觀看文件的源代碼。

3.2對ASP頁面進(jìn)行加密。為有效地防止ASP源代碼泄露，可以對ASP頁面進(jìn)行加密。我們曾采用兩種方法對ASP頁面進(jìn)行加密。一是使用組件技術(shù)將編程邏輯封裝入DLL之中；二是使用微軟的ScriptEncoder對ASP頁面進(jìn)行加密。3.3程序設(shè)計(jì)與驗(yàn)證不全漏洞

驗(yàn)證碼。普遍的客戶端交互如留言本、會員注冊等僅是按照要求輸入內(nèi)容，但網(wǎng)上有很多攻擊軟件，如注冊機(jī)，可以通過瀏覽WEB，掃描表單，然后在系統(tǒng)上頻繁注冊，頻繁發(fā)送不良信息，造成不良的影響，或者通過軟件不斷的嘗試，盜取你的密碼。而我們使用通過使用驗(yàn)證碼技術(shù)，使客戶端輸入的信息都必須經(jīng)過驗(yàn)證，從而可以解決這個(gè)問題。

登陸驗(yàn)證。對于很多網(wǎng)頁，特別是網(wǎng)站后臺管理部分，是要求有相應(yīng)權(quán)限的用戶才能進(jìn)入操作的。但是，如果這些頁面沒有對用戶身份進(jìn)行驗(yàn)證，黑客就可以直接在地址欄輸入收集到的相應(yīng)的URL路徑，避開用戶登錄驗(yàn)證頁面，從而獲得合法用戶的權(quán)限。所以，登陸驗(yàn)證是非常必要的。

SQL注入。SQL注入是從正常的WWW端口訪問，而且表面看起來跟一般的Web頁面訪問沒什么區(qū)別，所以目前市面的防火墻都不會對SQL注入發(fā)出警報(bào)，如果管理員沒查看IIS日志的習(xí)慣，可能被入侵很長時(shí)間都不會發(fā)覺。

SQL注入攻擊是最為常見的程序漏洞攻擊方式，引起攻擊的根本原因就是盲目信任用戶，將用戶輸入用來直接構(gòu)造SQL語句或存儲過程的參數(shù)。以下列出三種攻擊的形式：

A．用戶登錄：假設(shè)登錄頁面有兩個(gè)文本框，分別用來供用戶輸入帳號和密碼，利用執(zhí)行SQL語句來判斷用戶是否為合法用戶。試想，如果黑客在密碼文本框中輸入'OR0=0，即不管前面輸入的用戶帳號和密碼是什么，OR后面的0=0總是成立的，最后結(jié)果就是該黑客成為了合法的用戶。

B．用戶輸入：假設(shè)網(wǎng)頁中有個(gè)搜索功能，只要用戶輸入搜索關(guān)鍵字，系統(tǒng)就列出符合條件的所有記錄，可是，如果黑客在關(guān)鍵字文本框中輸入'GODROPTABLE用戶表，后果是用戶表被徹底刪除。

C．參數(shù)傳遞：假設(shè)我們有個(gè)網(wǎng)頁鏈接地址是HTTP：//……asp?id=22，然后ASP在頁面中利用Request.QueryString['id']取得該id值，構(gòu)成某SQL語句，這種情況很常見?？墒?，如果黑客將地址變?yōu)镠TTP：//……asp?id=22anduser=0，結(jié)果會怎樣?如果程序員有沒有對系統(tǒng)的出錯(cuò)提示進(jìn)行屏蔽處理的話，黑客就獲得了數(shù)據(jù)庫的用戶名，這為他們的進(jìn)一步攻擊提供了很好的條件。

解決方法：以上幾個(gè)例子只是為了起到拋磚引玉的作用，其實(shí)，黑客利用“猜測+精通的sql語言+反復(fù)嘗試”的方式，可以構(gòu)造出各種各樣的sql入侵。作為程序員，如何來防御或者降低受攻擊的幾率呢?作者在實(shí)際中是按以下方法做的：

第一：在用戶輸入頁面加以友好備注，告知用戶只能輸入哪些字符；

第二：在客戶端利用ASP自帶的校驗(yàn)控件和正則表達(dá)式對用戶輸入進(jìn)行校驗(yàn)，發(fā)現(xiàn)非法字符，提示用戶且終止程序進(jìn)行；

第三：為了防止黑客避開客戶端校驗(yàn)直接進(jìn)入后臺，在后臺程序中利用一個(gè)公用函數(shù)再次對用戶輸入進(jìn)行檢查，一旦發(fā)現(xiàn)可疑輸入，立即終止程序，但不進(jìn)行提示，同時(shí)