基于ASP開發的動態網站常見安全隱患的防護措施

郭舒揚 高志越 王寧

ASP是網站建設常用的一種設計技術，主要用于創建動態交互式網頁。由于與微軟旗下操作系統、數據庫、開發語言都具有非常好的兼容性，因此該技術在動態網站建設中具有相當高的比例。ASP在提高網站運行水平的同時，要務必做好網站的安全防護工作，確保網站有一個安全良好的運行環境。然而在實際運行中，ASP存在很多安全隱患，需要采取有針對性的措施進行防護。本文對ASP常見的一些安全漏洞進行了分析，并提出了有效解決措施。

一、ASP技術概述

ASP是一種運行在WEB服務器端的開放式腳本環境，由微軟公司開發，將HTML和腳本開發緊密的融合，不僅降低了開發難度，而且使程序編程更趨于靈活。ASP運行環境下所有程序包括含在HTML中的腳本程序，都在服務器端執行。程序執行結束執行結果會通過服務器反饋給客戶瀏覽器，不僅使客戶端瀏覽器負擔減輕，而且使交互速度有所提升。正是因為ASP技術操作運行簡單方便、易行，被廣大程序開發者應用到開發動態網站中。但是在應用過程中，由于種種原因會導致ASP自身所帶漏洞凸顯，很容易受到黑客攻擊。所以，針對實際運行中ASP存在的安全隱患，要采取有針對性的措施進行防護。

二、ASP的常見安全漏洞及防護措施

ASP常見的安全漏洞主要包括ASP服務器存在的安全隱患和ASP動態網站中數據庫的安全隱患兩大方面。前者比如ASP頁面安全性、IIS權限設置等，后者比如數據庫被盜、破譯密碼等。以下以幾個具體安全漏洞為例進行分析。

（一） ASP源代碼安全隱患

因為ASP程序采用非編譯性語言，當頁面訪問出現錯誤，源代碼就會在報錯頁面顯示，這樣就使程序源代碼的安全性大大降低。一旦遭遇黑客侵，就可以輕松獲取ASP源代碼，造成源代碼泄漏。另外對于租用服務器用戶也容易因為人為原因造成源代碼泄露。比如，編程人員通常使用ASP技術來實現網站交互，選擇某種服務方式，的相關內容會在網站地址攔內顯示，黑客可以根據地址欄顯示的信息輕松獲取頁面驗證進人加密網站，也就是說，不用網站登錄賬號和密碼，就能進入網站瀏覽任何信息，容易導致有價值的信息泄密。為有效防止ASP源代碼泄露，可以采取以下措施對ASP頁面進行加密防護：編程邏輯借助組件技術，在DDL中寫入編程程序，既保障了ASP技術的邏輯性，有確保了網站正常運行；或者通過命令行腳本加密工具ScriptEncoder對ASP頁面腳本代碼加密。需要說明的是，使用組件技術每段ASP代碼運行時，都要經過DDL邏輯操作，進行組件化，操作起來任務繁瑣復雜，利用腳本加密工具加密ASP頁面，較易操作、效果顯著。

（二）密碼驗證漏洞隱患

密碼驗證漏洞是ASP眾多信息安全漏洞的一個，常見的攻擊方式是 SQL注入式攻擊，利用代碼漏洞在服務器上運行SQL命令，進行攻擊。由于ASP代碼存在漏洞，動態生成SQL命令時，如果不驗證輸入的數據就容易受到黑客攻擊，通過特殊查詢語句來獲取一些重要的數據表數據，造成數據信息泄漏。可以采取以下措施進行防護：一是對驗證代碼進行更改，確保用戶名和密碼兩者全部輸入正確才能通過驗證。二是編寫代碼要限制輸入字符，比如對特殊符號、標點、字符長度等進行限制，增加保密性。三是通過ASP技術在SQL中的應用設計科學合理的安全配置，便于對ASP技術提交的數據的安全性進行檢查，并對端口位置進行安全防護。四是采用MDS、字段加密等方法對ASP中的運行數據進行全面存儲，確保數據的完整性和準確性。五是通過權限控制，對攻擊路徑進行切斷，保護SQL的良好運行。

（三） 注冊驗證漏洞隱患

ASP通過表單來實現服務端和客戶端交互，相應的程序代碼內容顯示在瀏覽器地址欄，如果不采取適當安全防范，只要用戶保存頁面的路徑和文件名，或在代碼后面加個判斷語句，就能不通過驗證進入注冊用戶活動某頁面，所以要采取相關措施對此類漏洞進行防護。一是加工處理需要驗證的ASP文件開頭，并對上一個頁面文件名進行跟蹤，通過進入上一頁面才能進入此頁面，可以通過兩種方法來實現。一是借助cookies實現。只要用戶登陸過頁面信息會自動保存客戶端cookies中，對其他限權訪問的頁面也可以直接訪問。二是借助session實現。Session保存的變量在關閉瀏覽器之前，只要將用戶登錄成功的信息在session中記錄，用戶就可以對其它限權訪問的頁面直接訪問瀏覽。

（四） ASP木馬安全隱患

利用Asp木馬入侵網站，可以輕松的篡改網頁、刪除數據。黑客入侵通常是利用ASP程序上傳功能的缺陷進入后臺程序，對ASP木馬程序進行上傳。實際上ASP木馬程序和其他ASP程序區別不大，所以就很難發覺ASP木馬，一旦木馬程序被上傳，黑客就能輕松控制Asp程序，甚至能攻克服務器管理員權限，對文件、數據庫進行修改刪除，對網站主業進行篡改，嚴重是導致系統癱瘓。防范ASP木馬主要采取以下幾種措施：一是上傳、維護網頁時，管理員盡量利用FTP，最好不試用和安裝AS的上傳；二是調用ASP上傳程序時一定要進行身份認證，杜絕不信任的客戶使用上傳程序；三是對上傳的文件一定要限制其擴展名。比如：上傳圖片文件時，設置為只能上傳擴展名為.jpg或.gif的文件；四是使用的ASP程序一定要從正規網站下載最新版本，及時更新補丁，并對數據庫名稱、默認路徑和管理員密碼進行定期修改，確保程序安全；五是要加強維護，定期檢查文件夾是否有陌生文件或數據表，一旦發現即刻刪除。六是對數據庫、網頁等重要文件要及時備份，以免出現意外時能還原調用。

（五）數據庫的安全隱患

當前簡單的ASP網站多采用Access數據庫，程序員通常會將數據庫文件放在一個規范的目錄下，如果采取某種方法獲取數據庫存儲路徑和文件名，就能下載Access數據庫文件，無疑會造成信息泄密。比如對信息發布數據庫來說，通常會以某種形式命名，存儲路徑通常設置固定形式，一旦輸入命名形式的這個地址，就可以隨意下載數據庫。再一點，由于Access數據庫加密簡單，所以解密也較為容易。因為數據庫系統加密串是通過用戶密碼與某一固定密鑰“異或”形成的，但是由于經過兩次異或就可以恢復原值，只要用密鑰與*.mdb文件加密串進行二次異或操作，Access數據庫密碼就能輕松破解，從而編制解密程序并獲取Access數據庫密碼，這樣數據庫信息就能輕松下載。可以采取以下措施進行防護：一是為Access數據庫文件起一個非常規的名字，并保存在幾個目錄下更改擴展名，這種情況下要想破譯Access數據庫文件名就絕非易事。二是ASP程序設計中盡量使用ODBC數據源，并在ODBC中設置數據源，比如設置為conn.open“ODBC-DSN名”，切忌在程序中填寫數據庫名，一旦ASP源程序失密，數據庫名也會跟著受到牽連，Access數據庫的路徑和名稱就會顯示，即便數據庫名字起得多么非常規，在目錄中隱藏的多深，也會隨著ASP源代碼失密而泄漏。

（六）后臺管理權限安全隱患

大多管理后臺設計權限判斷時，只在第一個登錄頁面進行設計，其余頁面不作權限判斷的要求，只要后臺檢測出其他的子頁面，黑客就可以對其操作。比如對于一個用戶管理系統來說，只要用“inurl”搜索關鍵詞“add”“del”等關鍵詞，用戶添加、刪除的管理頁面就能被檢測出來，檢測出的頁面一旦沒有進行權限判斷設計，頁面就可以直接打開，篡改或刪除數據信息，造成損失。

（七）ASP服務器安全性

ASP服務器操作系統通常由微軟開發，NT、WindowsServer2000、WindowsServer2003等在ASP服務器應用較為廣泛。需要注意以下幾個方面的安全防護。一是要操作系統補丁要及時下載更新，殺毒軟件要經常升級。二是對Internet信息服務默認 Web站點主目錄進行更改，增加虛擬目錄的設計，或Inter-net信息服務中網站的日志目錄路徑要經常更改。同時要注意系統分區上要避免主目錄和虛擬目錄的建立，僅僅設計讀取和記錄訪問的權限，應用程序要設置為高級保護設置。三是在主域控制器和系統分區上要避開IIS的建立，否則系統文件和IIS都容易被非法訪問， 系統分區就會遭到非法用戶入侵。四是不安全的組件或不需要組件就能完成安裝的要切忌安裝，確需組件來完成安裝的要安裝可靠的知名的組件。

三、結語

隨著web技術不斷深入發展，網絡技術正在發生日新月異的變化，ASP作為網站建設常用的一種設計技術，以其簡單易行的操作方式和強大的功能被廣泛應用在網站開發建設中。但ASP實際運用中存在的信息安全問題，成為一項重要的研究課題。只有不斷的加強分析和研究，對各方面存在的漏洞進行安全性分析，并因策制宜的采取相應的防范措施，才能更好的防范因漏洞帶來的安全風險，促進網站建設的健康快速發展。