关闭

ASP环境下的安全技术分析

161人阅读 评论(0) 收藏 举报
Asp是微软推出的服务器端脚本环境,它把脚本、HTML、ActiveX组件有机地结合在一起,形成动态、交互、高效的Web服务器应用程序。目前,IIS+ASP+SQL(或Access)方案已成为中小型企业构建自己网上信息系统的首选方案。虽然Asp具有快速开发能力,但Asp也存在不容忽视的安全漏洞,这些安全问题是Asp程序开发者和管理者一直努力解决的问题。本文试图从服务器端、数据库端、Asp程序设计三个方面对Asp的安全技术进行分析。
      一、2 ASP的安全技术分析
       (一) Web服务器端的安全技术
  1.目录文件的保护
  (1) NTFS权限。NTFS文件系统提供了比Fat32更为安全的文件管理方式,它通过文件访问控制表(ACL)定义了用户访问文件和目录的权限级别,如果用户具有打开文件的权限,计算机则允许该用户访问文件。通过设定目录和文件的访问权限,禁止无关用户对目录文件进行复制、修改、删除等操作,限制对系统的入侵。
  (2) 虚拟目录及其属性设置。虚拟目录隐藏了有关站点目录结构的重要信息,在Asp环境下,较安全的做法是将Asp脚本和HTML文件分开存放在不同的目录下,将存放HTML文件的目录设为只读属性,将存放Asp脚本的目录设为执行属性。
  (3)防止查看Asp文件。IIS自带的Code.asp或Showcode.asp文件,可以查看Asp程序的源代码,从而窃取相关的信息。可以在Web服务器端删除该文件或者禁止访问存放该文件的目录。
  2.限制访问技术
  (1)IP地址限制。IIS能够授权或拒绝特定IP地址对其访问,通过拒绝某特定IP地址的访问,以排除入侵干扰。具体设置:A启动ISM(Internet服务管理器);B启动Web属性页中“高级”选项卡;C进行指定IP地址的控制设置。
  (2)用户访问控制。IIS提供了对站点资源进行匿名访问与验证控制设置,Web服务器根据设置对用户的身份进行验证,阻止未授权用户与受限制内容建立Http连接。具体设置:在Web站点的“目录安全性”属性页中选择“匿名访问和验证控制”进行编辑。匿名访问允许客户端以IUSR-Computername为帐号与Web服务器建立连接(密码随机提供)。对于非匿名访问,有三种验证方式:基本验证,允许用户名及密码以未加密(明文)方式发送;简要验证,仅在域控制器的域中被支持,它通过网络发送经过混编的值(即利用“散列算法”计算的消息摘要)而不是密码进行验证。集成Windows验证,使用安全套接字层(SSL)自动加密用户名和密码。
  (3)防火墙技术。防火墙的目的是为内部网络或主机提供安全保护,阻止对信息资源的非法访问,强制所有连接都必须经过此保护层。防火墙包括包过滤和代理两种,包过滤主要是针对特定IP地址的主机所提供的服务,其基本原理是在网络传输的IP层截获往来和IP包信息,确定是否对此IP包进行转发。代理的基本原理是对Web服务单独构造一个代理程序,不允许客户程序与服务器程序直接交互,必须通过代理程序双方才能进行信息的交互。在实际构建时,通常由过滤器提供第一级的安全防护,再由代理服务器提供更高级的安全防护机制。
  3.审核与监视技术。安全审核负责监视系统中各种与安全有关的事件,生成安全日志,并提供查看安全日志的方法。通过分析安全日志,可以发现并阻止各种危及系统安全的行为。Windows2K默认安装下,安全审核是关闭的。要进行审核,必须先确定审核策略,指定要审核的安全事件的类别。具体的设置:在“管理工具-本地安全策略-本地策略-审核策略”中打开必要的审核。除了安全日志,系统日志和应用程序日志也是很好的监视工具,它们记录了用户自登录开始直到退出的整个操作过程,为网络安全分析提供可靠的依据。
  4.SSL安全机制。SSL (Secure Socket Layer)是一个运行在Http层和TCP层间的安全协议,确保传递信息的安全性。SSL是工作在公共密钥和私有密钥基础上的,任何用户都可以获取公共密钥来加密数据,但解密数据必须要通过相应的私有密钥。目前,SSL已被视为Internet上Web浏览器和服务器的标准安全性措施。由于SSL技术已建立到所有主要的浏览器和Web服务器程序中,因此,仅需安装数字证书或服务器证书就可以激活服务器功能。建立SSL安全机制后,只有SSL允许的客户才能与SSL允许的Web站点进行通信,浏览器连接到使用Https://的地址,而不是URL中的协议。
  5.关闭不用的服务和协议,堵上系统的漏洞和后门。“尽量少开没用到的服务”,如果开启了某个服务,就要提防该服务可能引起的漏洞。同时要定期下载操作系统、IIS、ASP和DBMS最新漏洞的补丁,将可能发生的安全隐患减到最少。
       (二)ASP程序设计安全技术
  Asp程序设计的安全主要涉及两个方面:一是Asp源代码的安全,二是Asp程序设计中的安全。常见的安全技术如下:
  1.用户名、口令机制。用户名、口令是基本的安全技术,在Asp中常采用Form表单提交用户输入的帐号和密码,与用户标识数据库中相应的字段进行匹配。
  2.Cookie的安全性。为防止非法用户访问合法用户的会话变量,服务器为每个SessionID指派一个随机生成号码。每当用户的Web浏览器返回一个SessionID Cookie时,服务器取出SessionID被赋予的数字,检查与存储在服务器上的生成号码是否一致,如果不一致则不允许用户访问会话变量。同时,应加密重要的Sessionid Cookie。一旦黑客截获了用户的Sessionid Cookie,就能假冒该用户开始一个活动会话。
0
0

猜你在找
【直播】机器学习&数据挖掘7周实训--韦玮
【套餐】系统集成项目管理工程师顺利通关--徐朋
【直播】3小时掌握Docker最佳实战-徐西宁
【套餐】机器学习系列套餐(算法+实战)--唐宇迪
【直播】计算机视觉原理及实战--屈教授
【套餐】微信订阅号+服务号Java版 v2.0--翟东平
【直播】机器学习之矩阵--黄博士
【套餐】微信订阅号+服务号Java版 v2.0--翟东平
【直播】机器学习之凸优化--马博士
【套餐】Javascript 设计模式实战--曾亮
查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:176234次
    • 积分:4336
    • 等级:
    • 排名:第6902名
    • 原创:272篇
    • 转载:18篇
    • 译文:0篇
    • 评论:7条
    文章分类
    相关内容
    最新评论