學(xué)校ASP網(wǎng)站漏洞及防范

學(xué)校ASP網(wǎng)站漏洞及防范

ID:44010327

大?。?4.00 KB

頁數(shù):3頁

時間:2019-10-17

學(xué)校ASP網(wǎng)站漏洞及防范_第1頁
學(xué)校ASP網(wǎng)站漏洞及防范_第2頁
學(xué)校ASP網(wǎng)站漏洞及防范_第3頁
資源描述:

《學(xué)校ASP網(wǎng)站漏洞及防范》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫。

1、學(xué)校ASP網(wǎng)站漏洞及防范[摘要]冃前瀏陽的很多學(xué)校都建立了自己的網(wǎng)站,但都是基TASP和Access的,很多的網(wǎng)站是直接從網(wǎng)上下載的,有著很多網(wǎng)站的注入通病。[關(guān)鍵詞]瀏陽網(wǎng)站數(shù)據(jù)庫攻擊由TASP的方便易用,越來越多的網(wǎng)站后臺程序都使用ASP腳本語言。但是,由于ASP本身存在一些安全漏洞,稍不小心就會給攻擊者提供可乘Z機。冃前ASP+ACCESS網(wǎng)站的主要安全隱患來自Access數(shù)據(jù)庫的安全性,其次在于ASP網(wǎng)頁設(shè)計過程中的安全漏洞,也就是沒有把很多關(guān)鍵詞進行過濾。一、漏洞解析1、用戶名與口令被破解用戶名與口令,往往是攻擊者們最感興趣的東西,如果被通過某種方式看到源代碼,后果是嚴重的,

2、我們的網(wǎng)站很快就會被攻擊者占據(jù)。2、ASP木馬有些網(wǎng)站允許用戶上傳文件,但必需對這些上傳文件十分小心,為什么論壇程序被攻破后主機也隨之被攻擊者占據(jù)。原因就在于可能存在ASP木馬,它能把一個文件隨便放到你論壇的程序中,進而整個網(wǎng)站被攻擊者占?據(jù)。3、inc文件泄露問題當存在ASP的主頁正在制作且沒有進行最后調(diào)試完成以前,可以被某些搜索引擎機動追加為搜索對象。如果這時候有人利用搜索引擎對這些網(wǎng)頁進行查找,會得到有關(guān)文件的定位,并能在瀏覽器中杳看到數(shù)據(jù)庫地點和結(jié)構(gòu)的細節(jié),并以此揭示完整的源代碼。4、特殊字符輸入框是黑客利用的一個Fl標,他們可以通過輸入腳本語言等對用戶客戶端造成損壞;如果該輸

3、入框涉及數(shù)據(jù)查詢,他們會利用特殊杳詢語句,得到更多的數(shù)據(jù)庫數(shù)據(jù),甚至表的全部。因此必須對輸入框進行過濾。但如果為了提高效率僅在客戶端進行輸入合法性檢查,仍有可能被繞過。5、Access數(shù)據(jù)庫的存儲隱患在ASP+Access應(yīng)用系統(tǒng)中,如果獲得或者猜到Access數(shù)據(jù)庫的存儲路徑和數(shù)據(jù)庫名,則該數(shù)據(jù)庫就可以被下載到木地。例如:對于網(wǎng)上書店的Access數(shù)據(jù)庫,人們一般命名為book.mdb>store,mdb等,而存儲的路徑一般為"URL/database"或干脆放在根目錄(“URL/”)下。這樣,只要在瀏覽器地址欄中敲入地址:"URL/database/store.mdb",就可以輕易

4、地把store,mdb下載到木地的機器中。二、防范對策1、防止泄露源代碼涉及用戶名與口令的程序最好封裝在服務(wù)器端,盡量少在ASP文件里出現(xiàn),涉及與數(shù)據(jù)庫連接的用戶名與口令應(yīng)給予最小的權(quán)限。出現(xiàn)次數(shù)多的用戶名與口令可以寫在一個位置比較隱蔽的包含文件中。如果涉及與數(shù)據(jù)庫連接,在理想狀態(tài)下只給它以執(zhí)行存儲過程的權(quán)限,千萬不要直接給予該用戶修改、插入、刪除記錄的權(quán)限。2、限制上傳文件格式為了防止ASP木馬被上傳到服務(wù)器,3、加密inc文件程序員應(yīng)該在網(wǎng)頁發(fā)布前對它進行徹底的調(diào)試還必需加同ASP文件以便外部的用戶不能看到它們。首先對.inc文件內(nèi)容進行加密,其次也可以使用.asp文件代替.inc

5、文件使用戶無法從瀏覽器直接觀看文件的源代碼。inc文件的文件名不要使用系統(tǒng)默認的或者有特殊含義容易被用戶猜測到的名稱,盡量使用無規(guī)則的英文字母。4、屏蔽某些特殊的語名和字符在處理類似留言板、BBS等輸入框的ASP程序中,最好屏蔽掉HTML>JavaScript>VBScript語句,如無特殊要求,可以限定只允許輸入字母與數(shù)字,屏蔽掉特殊字符。同時對輸入字符的長度進行限制。對輸入的字符不但要在客戶端進行輸入合法性檢查,同時要在服務(wù)器端程序中進行類似檢查。5、提高數(shù)據(jù)庫的安全性由于Access數(shù)據(jù)庫加密機制過于簡單,因此,如何有效地防止Access數(shù)據(jù)庫被卜?載,就成了提高ASP+Acce

6、ss解決方案安全性的重中之重。①非常規(guī)命名法防止數(shù)據(jù)庫被找到的簡便方法是為Access數(shù)據(jù)庫文件起一個復(fù)朵的非常規(guī)名字,并把它存放在多層目錄卜=例如,對于網(wǎng)上書店的數(shù)據(jù)庫文件,不要簡單地命名為“book.mdb”或“store.mdb”,而是要起個非常規(guī)的名字,例如:d34ksfslf.mdb,并把它放在如./kdslf/i44/studi/的幾層目錄下。這樣,對于一些通過猜的方式得到Access數(shù)據(jù)庫文件名的非法訪問方法起到了有效的阻止作用。②使用ODBC數(shù)據(jù)源在ASP程序設(shè)計中,應(yīng)盡量使用ODBC數(shù)據(jù)源,不要把數(shù)據(jù)庫名直接寫在程序屮,否則,數(shù)據(jù)庫名將隨ASP源代碼的失密而一同失密。

7、例如:MyPath=Server.MapPath(u./kdslf/i44/studi/d34ksfslf.mdb)mycorm.Open“driver二{Micros。ftAccessDriver(*.mdb)};dbq二”&myPath可見,即使數(shù)據(jù)庫名字起得再怪異,隱藏的口錄再深,ASP源代碼失密后,數(shù)據(jù)庫也很容易被下載下來。6、利用Session對象進行注冊驗證為防止未經(jīng)注冊的用戶繞過注冊界血直接進入應(yīng)用系統(tǒng),口J以采用Session對

當前文檔最多預(yù)覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當前文檔最多預(yù)覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動畫的文件,查看預(yù)覽時可能會顯示錯亂或異常,文件下載后無此問題,請放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫負責整理代發(fā)布。如果您對本文檔版權(quán)有爭議請及時聯(lián)系客服。
3. 下載前請仔細閱讀文檔內(nèi)容,確認文檔內(nèi)容符合您的需求后進行下載,若出現(xiàn)內(nèi)容與標題不符可向本站投訴處理。
4. 下載文檔時可能由于網(wǎng)絡(luò)波動等原因無法下載或下載錯誤,付費完成后未能成功下載的用戶請聯(lián)系客服處理。