資源描述:
《基于asp網(wǎng)站的攻擊與防范》由會(huì)員上傳分享�,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫��。
1�、基于ASP網(wǎng)站的攻擊與防范1���、引言ASP即ActiveServerPages�,它是微軟開發(fā)的一種動(dòng)態(tài)網(wǎng)站編寫技術(shù)�,屬于嵌入式服務(wù)器端腳本,允許HTML和ASP程序語句的互相嵌套��,并且可以直接存取數(shù)裾庫及使用無限擴(kuò)充的ActiveX控件����,因此ASP的程序編制比HTML更方便,交互功能更強(qiáng)大��,且更有靈活性。但是有些網(wǎng)站管理員只看到ASP的快速開發(fā)能力����,卻忽視了ASP安全問題,因此如何保護(hù)Web網(wǎng)站的安全是每一個(gè)Web網(wǎng)站開發(fā)人員所面臨的重要課題��,本文通過對基于ASP技術(shù)的動(dòng)態(tài)Web網(wǎng)站工作原理的分析����,探討了基于ASP的網(wǎng)站在服務(wù)器和源代碼方面的漏洞,并給出了防范措施和對策���。2���、ASP的工作原理
2、ASP的執(zhí)行環(huán)境是在服務(wù)器端�,但并不是任何服務(wù)器都可以執(zhí)行ASP。ASP需要Microsoft的IIS(Internet信息服務(wù)器)或PWS(個(gè)人Web服務(wù)器)的支持�。當(dāng)客戶端的用戶用Web瀏覽器來訪問ASP頁面時(shí),Web服務(wù)器分析�、判斷出該請求是ASP腳本的應(yīng)用后,將調(diào)用ASP腳本的解釋運(yùn)行引攀(ASP.DLL)從文件系統(tǒng)或內(nèi)部緩沖區(qū)獲取制定的ASP腳本文件���,接著就進(jìn)行語法分析并解釋執(zhí)行��。最終的處理結(jié)果將形成標(biāo)準(zhǔn)的HTML格式文件���,通過Web服務(wù)器返回給Web瀏覽器���,由Web瀏覽器在客戶端形成最終的結(jié)果呈現(xiàn)。3����、ASP執(zhí)行過程以及在網(wǎng)絡(luò)安全上的優(yōu)點(diǎn)ASP腳本是使用VBScript,jav
3、ascript或JScript腳本語言編寫的�����,與標(biāo)準(zhǔn)HTML頁面混合在一起的腳本所構(gòu)成的文本格式的文件��。當(dāng)Web瀏覽器向Web服務(wù)器發(fā)出HTTP請求����,訪問ASP文件時(shí)�,Web服務(wù)器判斷出該請求的ASP文件含有“”后,調(diào)用ASP.DLL,進(jìn)行語法分析�、解釋執(zhí)行,然后將最終結(jié)果轉(zhuǎn)換成為標(biāo)準(zhǔn)的HTML格式內(nèi)容�����,返回給Web瀏覽器,由Web瀏覽器顯示�。這是一次完整的ASP執(zhí)行過程。ASP在網(wǎng)絡(luò)安全方面主要有以下優(yōu)點(diǎn):(1)在不泄漏源代碼相比客戶端執(zhí)行的javascript程序�,ASP在網(wǎng)絡(luò)安全上的優(yōu)點(diǎn)之一是用戶不能看到ASP源程序。因?yàn)閭鞯綖g覽器端的只是轉(zhuǎn)換成HTML語言的結(jié)果���。這一點(diǎn)既維護(hù)了AS
4�、P開發(fā)人員的版權(quán)���,又維護(hù)了網(wǎng)站系統(tǒng)的安全��。U4mAt(2)支持虛擬目錄的建立在網(wǎng)絡(luò)安全上有重要意義����。因?yàn)樘摂M目錄方式可以隱藏站點(diǎn)目錄結(jié)構(gòu)��。而站點(diǎn)目錄結(jié)構(gòu)的暴露��,??*f*BB&0〕.?愛直似?IA爆>?Indexof/?jMJrr罈SQbuhokSZuatMl‘拗似?戌念:m?鉍h?期IMAM番IM泰湖往往是導(dǎo)致系統(tǒng)受到攻擊的第一步����。而且網(wǎng)站源代碼不需要任何修改�,就可以搬遷到另一臺(tái)服務(wù)器上正常運(yùn)行����,另外,管理員可以對虛擬目錄設(shè)置不同的操作權(quán)限�。從而方便管理,并且提高ASP程序的安全性���。4���、ASP常見的安全漏洞及防范措施4.1Access數(shù)據(jù)庫訪問密碼池露安全漏洞由于Access數(shù)裾庫的加密
5、機(jī)制非常簡單�����,即使數(shù)據(jù)庫設(shè)置Y密碼����,解密也很容易�。該數(shù)據(jù)庫系統(tǒng)通過將用戶輸入的密碼與某一固定密鑰進(jìn)行異或來形成一個(gè)加密串,并將其存儲(chǔ)在*.mdb文件從地址“&H42”開始的區(qū)域內(nèi)��。由于異或操作的特點(diǎn)是經(jīng)過2次異或就能恢復(fù)原值,因此�,用這一密鑰與*.mdb文件從地址“&H42”開始區(qū)域內(nèi)的加密字符串進(jìn)行第2次異或操作,可以輕松地得到任何Access數(shù)據(jù)庫的密碼���。Mi)量鬌泊夢讓A轚???MU?9??i?_���,?9±Q>-Sfll1?,:I■曹II:?????I■龍罐M:tOM*052如圖:防范措施:(1)不能把密碼的物理路徑直接寫在程序中�,而應(yīng)使用虛擬路徑。(2)使用SSL維護(hù)應(yīng)用程序的安全�����。
6��、它提供了一種安全的虛擬透明的方式來建立與用戶的加密通信連接��。SSL保證了Web內(nèi)容的驗(yàn)證�����,并能可靠地確認(rèn)訪問被限制的Web站點(diǎn)的用戶的身份�,防止發(fā)送信息被監(jiān)聽的可能。(3)客戶資格認(rèn)證���。這是一種十分安全的方法�。每當(dāng)用戶試圖登錄到需要資格驗(yàn)證的應(yīng)用程序時(shí),用戶的Web瀏覽器會(huì)自動(dòng)向服務(wù)器發(fā)送用戶資格��。如果Web服務(wù)器的SSL資格映射特性配置正確��,那么服務(wù)器就可以在許可用戶對ASP應(yīng)用程序訪問之前對其身份進(jìn)行確認(rèn)���。4.2Access數(shù)據(jù)庫下載漏洞在采用ASP+Access技術(shù)建設(shè)的網(wǎng)站中���,如果有人通過各種方法獲得或者猜到數(shù)據(jù)庫的存儲(chǔ)路徑和文件名,則該數(shù)據(jù)庫就可以被下載到本地�。例如:對于網(wǎng)上書店
7、數(shù)掘庫�,一般命名為dvbbs8.mdb、book.mdb����、store.mdb等。存儲(chǔ)路徑一般為“URL/database”或放在根目錄“URL/”下���。這樣,只要敲入地址:“URL/database/dvbbs8.mdb”�����,數(shù)據(jù)庫就可以被下載。;???r-?WU?>一V?rw!>OS
8�、>Mn,p鬌妒曝1fti?-r.ra?&iu?a*D?i?C??—?u*零?卜yta)*in雀卜tldliiwSAXOULma
