郭舒揚 高志越 王寧

ASP是網(wǎng)站建設(shè)常用的一種設(shè)計技術(shù)，主要用于創(chuàng)建動態(tài)交互式網(wǎng)頁。由于與微軟旗下操作系統(tǒng)、數(shù)據(jù)庫、開發(fā)語言都具有非常好的兼容性，因此該技術(shù)在動態(tài)網(wǎng)站建設(shè)中具有相當(dāng)高的比例。ASP在提高網(wǎng)站運行水平的同時，要務(wù)必做好網(wǎng)站的安全防護工作，確保網(wǎng)站有一個安全良好的運行環(huán)境。然而在實際運行中，ASP存在很多安全隱患，需要采取有針對性的措施進行防護。本文對ASP常見的一些安全漏洞進行了分析，并提出了有效解決措施。

一、ASP技術(shù)概述

ASP是一種運行在WEB服務(wù)器端的開放式腳本環(huán)境，由微軟公司開發(fā)，將HTML和腳本開發(fā)緊密的融合，不僅降低了開發(fā)難度，而且使程序編程更趨于靈活。ASP運行環(huán)境下所有程序包括含在HTML中的腳本程序，都在服務(wù)器端執(zhí)行。程序執(zhí)行結(jié)束執(zhí)行結(jié)果會通過服務(wù)器反饋給客戶瀏覽器，不僅使客戶端瀏覽器負擔(dān)減輕，而且使交互速度有所提升。正是因為ASP技術(shù)操作運行簡單方便、易行，被廣大程序開發(fā)者應(yīng)用到開發(fā)動態(tài)網(wǎng)站中。但是在應(yīng)用過程中，由于種種原因會導(dǎo)致ASP自身所帶漏洞凸顯，很容易受到黑客攻擊。所以，針對實際運行中ASP存在的安全隱患，要采取有針對性的措施進行防護。

二、ASP的常見安全漏洞及防護措施

ASP常見的安全漏洞主要包括ASP服務(wù)器存在的安全隱患和ASP動態(tài)網(wǎng)站中數(shù)據(jù)庫的安全隱患兩大方面。前者比如ASP頁面安全性、IIS權(quán)限設(shè)置等，后者比如數(shù)據(jù)庫被盜、破譯密碼等。以下以幾個具體安全漏洞為例進行分析。

（一） ASP源代碼安全隱患

因為ASP程序采用非編譯性語言，當(dāng)頁面訪問出現(xiàn)錯誤，源代碼就會在報錯頁面顯示，這樣就使程序源代碼的安全性大大降低。一旦遭遇黑客侵，就可以輕松獲取ASP源代碼，造成源代碼泄漏。另外對于租用服務(wù)器用戶也容易因為人為原因造成源代碼泄露。比如，編程人員通常使用ASP技術(shù)來實現(xiàn)網(wǎng)站交互，選擇某種服務(wù)方式，的相關(guān)內(nèi)容會在網(wǎng)站地址攔內(nèi)顯示，黑客可以根據(jù)地址欄顯示的信息輕松獲取頁面驗證進人加密網(wǎng)站，也就是說，不用網(wǎng)站登錄賬號和密碼，就能進入網(wǎng)站瀏覽任何信息，容易導(dǎo)致有價值的信息泄密。為有效防止ASP源代碼泄露，可以采取以下措施對ASP頁面進行加密防護：編程邏輯借助組件技術(shù)，在DDL中寫入編程程序，既保障了ASP技術(shù)的邏輯性，有確保了網(wǎng)站正常運行；或者通過命令行腳本加密工具ScriptEncoder對ASP頁面腳本代碼加密。需要說明的是，使用組件技術(shù)每段ASP代碼運行時，都要經(jīng)過DDL邏輯操作，進行組件化，操作起來任務(wù)繁瑣復(fù)雜，利用腳本加密工具加密ASP頁面，較易操作、效果顯著。

（二）密碼驗證漏洞隱患

密碼驗證漏洞是ASP眾多信息安全漏洞的一個，常見的攻擊方式是 SQL注入式攻擊，利用代碼漏洞在服務(wù)器上運行SQL命令，進行攻擊。由于ASP代碼存在漏洞，動態(tài)生成SQL命令時，如果不驗證輸入的數(shù)據(jù)就容易受到黑客攻擊，通過特殊查詢語句來獲取一些重要的數(shù)據(jù)表數(shù)據(jù)，造成數(shù)據(jù)信息泄漏?？梢圆扇∫韵麓胧┻M行防護：一是對驗證代碼進行更改，確保用戶名和密碼兩者全部輸入正確才能通過驗證。二是編寫代碼要限制輸入字符，比如對特殊符號、標點、字符長度等進行限制，增加保密性。三是通過ASP技術(shù)在SQL中的應(yīng)用設(shè)計科學(xué)合理的安全配置，便于對ASP技術(shù)提交的數(shù)據(jù)的安全性進行檢查，并對端口位置進行安全防護。四是采用MDS、字段加密等方法對ASP中的運行數(shù)據(jù)進行全面存儲，確保數(shù)據(jù)的完整性和準確性。五是通過權(quán)限控制，對攻擊路徑進行切斷，保護SQL的良好運行。

（三） 注冊驗證漏洞隱患

ASP通過表單來實現(xiàn)服務(wù)端和客戶端交互，相應(yīng)的程序代碼內(nèi)容顯示在瀏覽器地址欄，如果不采取適當(dāng)安全防范，只要用戶保存頁面的路徑和文件名，或在代碼后面加個判斷語句，就能不通過驗證進入注冊用戶活動某頁面，所以要采取相關(guān)措施對此類漏洞進行防護。一是加工處理需要驗證的ASP文件開頭，并對上一個頁面文件名進行跟蹤，通過進入上一頁面才能進入此頁面，可以通過兩種方法來實現(xiàn)。一是借助cookies實現(xiàn)。只要用戶登陸過頁面信息會自動保存客戶端cookies中，對其他限權(quán)訪問的頁面也可以直接訪問。二是借助session實現(xiàn)。Session保存的變量在關(guān)閉瀏覽器之前，只要將用戶登錄成功的信息在session中記錄，用戶就可以對其它限權(quán)訪問的頁面直接訪問瀏覽。

（四） ASP木馬安全隱患

利用Asp木馬入侵網(wǎng)站，可以輕松的篡改網(wǎng)頁、刪除數(shù)據(jù)。黑客入侵通常是利用ASP程序上傳功能的缺陷進入后臺程序，對ASP木馬程序進行上傳。實際上ASP木馬程序和其他ASP程序區(qū)別不大，所以就很難發(fā)覺ASP木馬，一旦木馬程序被上傳，黑客就能輕松控制Asp程序，甚至能攻克服務(wù)器管理員權(quán)限，對文件、數(shù)據(jù)庫進行修改刪除，對網(wǎng)站主業(yè)進行篡改，嚴重是導(dǎo)致系統(tǒng)癱瘓。防范ASP木馬主要采取以下幾種措施：一是上傳、維護網(wǎng)頁時，管理員盡量利用FTP，最好不試用和安裝AS的上傳；二是調(diào)用ASP上傳程序時一定要進行身份認證，杜絕不信任的客戶使用上傳程序；三是對上傳的文件一定要限制其擴展名。比如：上傳圖片文件時，設(shè)置為只能上傳擴展名為.jpg或.gif的文件；四是使用的ASP程序一定要從正規(guī)網(wǎng)站下載最新版本，及時更新補丁，并對數(shù)據(jù)庫名稱、默認路徑和管理員密碼進行定期修改，確保程序安全；五是要加強維護，定期檢查文件夾是否有陌生文件或數(shù)據(jù)表，一旦發(fā)現(xiàn)即刻刪除。六是對數(shù)據(jù)庫、網(wǎng)頁等重要文件要及時備份，以免出現(xiàn)意外時能還原調(diào)用。

（五）數(shù)據(jù)庫的安全隱患

當(dāng)前簡單的ASP網(wǎng)站多采用Access數(shù)據(jù)庫，程序員通常會將數(shù)據(jù)庫文件放在一個規(guī)范的目錄下，如果采取某種方法獲取數(shù)據(jù)庫存儲路徑和文件名，就能下載Access數(shù)據(jù)庫文件，無疑會造成信息泄密。比如對信息發(fā)布數(shù)據(jù)庫來說，通常會以某種形式命名，存儲路徑通常設(shè)置固定形式，一旦輸入命名形式的這個地址，就可以隨意下載數(shù)據(jù)庫。再一點，由于Access數(shù)據(jù)庫加密簡單，所以解密也較為容易。因為數(shù)據(jù)庫系統(tǒng)加密串是通過用戶密碼與某一固定密鑰“異或”形成的，但是由于經(jīng)過兩次異或就可以恢復(fù)原值，只要用密鑰與*.mdb文件加密串進行二次異或操作，Access數(shù)據(jù)庫密碼就能輕松破解，從而編制解密程序并獲取Access數(shù)據(jù)庫密碼，這樣數(shù)據(jù)庫信息就能輕松下載。可以采取以下措施進行防護：一是為Access數(shù)據(jù)庫文件起一個非常規(guī)的名字，并保存在幾個目錄下更改擴展名，這種情況下要想破譯Access數(shù)據(jù)庫文件名就絕非易事。二是ASP程序設(shè)計中盡量使用ODBC數(shù)據(jù)源，并在ODBC中設(shè)置數(shù)據(jù)源，比如設(shè)置為conn.open“ODBC-DSN名”，切忌在程序中填寫數(shù)據(jù)庫名，一旦ASP源程序失密，數(shù)據(jù)庫名也會跟著受到牽連，Access數(shù)據(jù)庫的路徑和名稱就會顯示，即便數(shù)據(jù)庫名字起得多么非常規(guī)，在目錄中隱藏的多深，也會隨著ASP源代碼失密而泄漏。

（六）后臺管理權(quán)限安全隱患

大多管理后臺設(shè)計權(quán)限判斷時，只在第一個登錄頁面進行設(shè)計，其余頁面不作權(quán)限判斷的要求，只要后臺檢測出其他的子頁面，黑客就可以對其操作。比如對于一個用戶管理系統(tǒng)來說，只要用“inurl”搜索關(guān)鍵詞“add”“del”等關(guān)鍵詞，用戶添加、刪除的管理頁面就能被檢測出來，檢測出的頁面一旦沒有進行權(quán)限判斷設(shè)計，頁面就可以直接打開，篡改或刪除數(shù)據(jù)信息，造成損失。

（七）ASP服務(wù)器安全性

ASP服務(wù)器操作系統(tǒng)通常由微軟開發(fā)，NT、WindowsServer2000、WindowsServer2003等在ASP服務(wù)器應(yīng)用較為廣泛。需要注意以下幾個方面的安全防護。一是要操作系統(tǒng)補丁要及時下載更新，殺毒軟件要經(jīng)常升級。二是對Internet信息服務(wù)默認 Web站點主目錄進行更改，增加虛擬目錄的設(shè)計，或Inter-net信息服務(wù)中網(wǎng)站的日志目錄路徑要經(jīng)常更改。同時要注意系統(tǒng)分區(qū)上要避免主目錄和虛擬目錄的建立，僅僅設(shè)計讀取和記錄訪問的權(quán)限，應(yīng)用程序要設(shè)置為高級保護設(shè)置。三是在主域控制器和系統(tǒng)分區(qū)上要避開IIS的建立，否則系統(tǒng)文件和IIS都容易被非法訪問， 系統(tǒng)分區(qū)就會遭到非法用戶入侵。四是不安全的組件或不需要組件就能完成安裝的要切忌安裝，確需組件來完成安裝的要安裝可靠的知名的組件。

三、結(jié)語

隨著web技術(shù)不斷深入發(fā)展，網(wǎng)絡(luò)技術(shù)正在發(fā)生日新月異的變化，ASP作為網(wǎng)站建設(shè)常用的一種設(shè)計技術(shù)，以其簡單易行的操作方式和強大的功能被廣泛應(yīng)用在網(wǎng)站開發(fā)建設(shè)中。但ASP實際運用中存在的信息安全問題，成為一項重要的研究課題。只有不斷的加強分析和研究，對各方面存在的漏洞進行安全性分析，并因策制宜的采取相應(yīng)的防范措施，才能更好的防范因漏洞帶來的安全風(fēng)險，促進網(wǎng)站建設(shè)的健康快速發(fā)展。