關(guān)于asp網(wǎng)站安全設(shè)置的一點思考

曾子睿

【摘 要】本文論述了當前大多asp網(wǎng)站存在的安全隱患和威脅，并從數(shù)據(jù)庫安全、asp代碼安全、iis安全、服務(wù)器系統(tǒng)安全等方面綜合論述如何加強對asp網(wǎng)站的管理和維護。

【關(guān)鍵字】asp，網(wǎng)站，安全，維護

【中圖分類號】IP393.08 【文獻標識碼】A 【文章編號】1672-5158（2013）03-0171-01

asp作為一種快速開發(fā)的腳本語言，在高級程序開發(fā)語言.net，php，jsp盛行的今天，其易用性和開發(fā)便捷性還是得到很多人的認同，目前國內(nèi)大部分網(wǎng)站還是采用asp程序代碼開發(fā)，由于asp是早期語言，程序的邏輯性和嚴密性不是很好，再加上難封裝等客觀原因，其語言的安全性相比.net、php、jsp而言要差些，但是只要我們做好一些必要的安全工作，asp網(wǎng)站一樣能夠很安全、穩(wěn)定的運行，有些使用ASP語言的網(wǎng)站甚至比php、jsp等程序開發(fā)出來的網(wǎng)站更安全穩(wěn)定，而且有易于管理和維護的特點。

1.首先我們先談數(shù)據(jù)庫安全，數(shù)據(jù)庫的安全關(guān)系到整個網(wǎng)站的安全，asp網(wǎng)站常搭配兩種數(shù)據(jù)庫：一種是access，一種是sql，access出現(xiàn)的時間比sql要早，雖然access具備數(shù)據(jù)庫文件小、使用容易、在虛擬主機上可以直接運行等優(yōu)點，但是其安全性和性能比sql要差，容易被下載，但只要做好以下幾方面，asp+access的網(wǎng)站一樣可以很安全、穩(wěn)定的運行，首先是對access數(shù)據(jù)庫做防下載處理，通常處理方法如下：1.可以在數(shù)據(jù)庫文件名前加#符號、或者在數(shù)據(jù)庫文件名當中加入#符號，然后修改asp網(wǎng)站中的數(shù)據(jù)庫連接文件（比如conn.asp，data.asp，sql.asp等等，也有的在index.asp主文件中）中的數(shù)據(jù)庫連接地址，但數(shù)據(jù)庫文件名應(yīng)保持一致。還可以在數(shù)據(jù)庫文件字串中加入些標點符號，比如，；號等，這是由于http協(xié)議會把這些符號解析成”%”號，所以即使有人看到你數(shù)據(jù)庫的地址，也很難準確判斷數(shù)據(jù)庫文件地址進而下載數(shù)據(jù)庫文件！

2.可以對數(shù)據(jù)庫進行加密，具體操作如下，選擇access菜單選項：工具——安全——加密/解密數(shù)據(jù)庫選項，選擇你所需加密的數(shù)據(jù)庫名（比如：data.mdb），點確定，此時會出現(xiàn)另存為窗口，點擊確定，這項操作能給數(shù)據(jù)庫文件內(nèi)容加上系統(tǒng)編碼，防止無關(guān)人員隨意查看數(shù)據(jù)庫內(nèi)容。接下來則是加密操作，打開相應(yīng)的數(shù)據(jù)庫文件，在窗口右下角選擇框里選擇獨占方式，然后選擇access菜單，依次點擊上方的工具——安全——設(shè)置數(shù)據(jù)庫密碼選項，接著輸入密碼，這樣數(shù)據(jù)庫密碼就設(shè)好了，給數(shù)據(jù)庫安全多一重保障，但設(shè)置密碼后切記在數(shù)據(jù)庫連接文件中加上uid=***；pwd=***語句，建立數(shù)據(jù)庫和網(wǎng)站文件的連接，這樣網(wǎng)頁才能正常訪問！4.可以把數(shù)據(jù)庫放到其它目錄下，然后把數(shù)據(jù)庫連接的相應(yīng)地址改掉，數(shù)據(jù)庫連接語句最好寫成數(shù)據(jù)源ODBC連接格式，不過這種方法不適合虛擬主機用戶使用。Sql數(shù)據(jù)庫相對安全系數(shù)要高些，不過也要設(shè)置好密碼、使用用戶、文件權(quán)限等，還要刪除掉一些危險的、使用不到的存儲過程，比如cmdshell等，總的原則是密碼越長越復(fù)雜越好，用戶越低權(quán)限越好，使用文件權(quán)限也越低越好！

3.使用asp網(wǎng)站加密工具，對網(wǎng)站文件和數(shù)據(jù)庫文件加密！

當然，iis作為運行asp程序的一項重要工具，其安全問題也應(yīng)高度重視，具體可做一下操作，做好這些操作后，IIS的安全性將會大大提升，具體如下：

（1）給予IIS站點屬性中的主目錄以讀取權(quán)限，執(zhí)行選擇純腳本。

（2）在應(yīng)用程序配置的調(diào)試選項卡中，不啟用asp的服務(wù)端和客戶端腳本調(diào)試，不向客戶端發(fā)送詳細的ASP錯誤消息，防止泄漏程序文件和數(shù)據(jù)庫詳細信息。此外，在應(yīng)用程序配置的選項中記得勾選啟用父路徑。

（3）在控制面板——計算機管理——用戶名和密碼中新建一用戶，隸屬于guests組，把這個用戶名對應(yīng)的密碼設(shè)置復(fù)雜點，然后在網(wǎng)站屬性的身份驗證方法中查看匿名訪問用戶名，選擇剛才自己新建的用戶，給自己新建的用戶以最低權(quán)限，建議只給予讀取和寫入權(quán)限。

（4）網(wǎng)站的上傳目錄（比如images，softs）等文件和數(shù)據(jù)庫文件（mdb，sql）等本身不需要運行asp程序，因此要把執(zhí)行權(quán)限設(shè)置成無，給它們以基本的讀取和寫入權(quán)限即可。

（5）及時升級iis和打最新的微軟操作系統(tǒng)補丁、數(shù)據(jù)庫也要及時升級。

（6）可以對網(wǎng)站文件里的文件進行加密或進行防篡改處理。

（7）在主目錄——配置——應(yīng)用程序拓展選項中只保留asp、asa選項。

此外，關(guān)于服務(wù)器系統(tǒng)的安全維護有這樣一句行話：“分配最小的權(quán)限+提供最少的服務(wù)=保障最大的安全”。操作系統(tǒng)的安全也是很重要的，試想如果操作系統(tǒng)有很多漏洞，黑客通過這些漏洞攻進操作系統(tǒng)，那豈不是網(wǎng)站文件都保不住了？所以正確配置好服務(wù)器系統(tǒng)和打好服務(wù)器補丁，及時升級殺毒軟件，裝網(wǎng)絡(luò)防火墻都是必不可少的！除此之外，服務(wù)器的文件和用戶名權(quán)限設(shè)置也是很重要的，直接關(guān)系到服務(wù)器和網(wǎng)站文件的安全，系統(tǒng)安全如果做得好，黑客很難攻入，反之黑客可以輕松操控整臺服務(wù)器。文件和用戶名權(quán)限設(shè)置步驟如下：

（8）禁用并給guest賬戶一個非常復(fù)雜的密碼。

（9）刪除或限制一些不必要的帳戶使用，因為有些不必要的帳戶給黑客入侵服務(wù)器提供了便利。

（10）把系統(tǒng)默認管理員帳戶administrator改名，并匹配其很復(fù)雜的密碼。

（11）新建一偽裝用戶，名稱取為administrator（系統(tǒng)管理員賬戶），為其也匹配很復(fù)雜的密碼。并分配給這個賬戶以最低的權(quán)限，這樣黑客入侵的話就會白忙活一陣子，而且管理員也可以有足夠時間來鎖定黑客的相關(guān)信息。（即使黑客入侵成功，取得的也只是最低權(quán)限，控制不了服務(wù)器）。

（12）不要把任何共享文件的用戶分配給系統(tǒng)用戶“everyone”組。

4. 如果管理者不想讓操作系統(tǒng)顯示上次登錄的用戶名可以做如下操作：打開注冊表“Software＼Microsoft＼Windows T＼CurrentVersion＼Winlogon＼Dont-DisplayLastUserName”，把REG_SZ的鍵值改成1。

刪除和禁止使用某些危險的asp組件也同樣重要（這些組件一般情況下用不到，如需用重新運行此項組件即可），事實上，asp木馬多通過Shell.Application、WScript.Shell、WScript.Network組件來運行，以下是具體的刪除方法：（具體步驟是在開始運行命令執(zhí)行中操作）

（1）刪除WScript.Shell組件命令：regsvr32 WSHom.ocx /u（2）刪除WScript.Network組件命令：regsvr32 wshom.ocx /u（3）禁止使用Shell.Application組件命令：cacls C：＼WINNT＼system32＼

shell32.dll /e /d guests

（4）禁止guest用戶使用shell32.dll組件命令：cacls C：＼WINNT＼

system32＼Cmd.exe /e /d guests

最后是asp文件和數(shù)據(jù)安全，上文提到可以對網(wǎng)站文件里的文件進行加密或進行防篡改處理，還可以通過vb將asp代碼封裝成dll組件，還要對asp代碼進行防注入過濾，過濾html語句，過濾網(wǎng)頁間的傳值，使用后臺登錄驗證，防session猜解，密碼md5加密（對md5加密的密碼最好設(shè)置成14位以上，防止被破解），使用微軟提供的URLScan Tool過濾非法url地址等，鑒于此塊篇幅很大，此文不做一一詳述，有興趣的讀者可通過上網(wǎng)或書籍查詢相關(guān)內(nèi)容。此外，定期備份網(wǎng)站文件和數(shù)據(jù)庫（如果是sql數(shù)據(jù)庫，筆者建議可以異地備份）至關(guān)重要，一旦網(wǎng)站出現(xiàn)問題可及時還原原始文件，保網(wǎng)站的持續(xù)運行。

參考文獻：

[1]李世川. 淺析基于ASP的網(wǎng)站安全問題[J]. 科技資訊，2010.09[2]張帆. ASP網(wǎng)站的安全管理及措施[J]. 計算機安全，2008.08

[3]劉聰林.論基于ASP網(wǎng)站的安全管理[J]. 德州學(xué)院學(xué)報，2011.08

[4]莊小葉； 蔣西明； 李軻.基于ASP的網(wǎng)站安全性研究[J].山東紡織經(jīng)濟，2012.09

[5]張彩華. 淺析ASP網(wǎng)站中SQL注入的防范措施[J]. 黑龍江科技信息，2012.04

[6]賈玲. ASP網(wǎng)站安全問題探析 [J]. 濮陽職業(yè)技術(shù)學(xué)院學(xué)報，2009.05

[7]朱根良. 談ASP網(wǎng)站的安全管理[J]. 科技信息，2011.01

[8]李世川. 淺析基于ASP的網(wǎng)站安全問題[J]. 科技資訊，2010.05

[9]尹玉霞. 基于ASP網(wǎng)站的安全性研究與實現(xiàn)[J]. 硅谷，2012.02

[10]姜朱磊.淺談ASP網(wǎng)站的安全管理[J]. 農(nóng)業(yè)科技與信息，2011.09