ASP环境下的安全技术分析

原创 2012年03月30日 08:53:33
Asp是微软推出的服务器端脚本环境,它把脚本、HTML、ActiveX组件有机地结合在一起,形成动态、交互、高效的Web服务器应用程序。目前,IIS+ASP+SQL(或Access)方案已成为中小型企业构建自己网上信息系统的首选方案。虽然Asp具有快速开发能力,但Asp也存在不容忽视的安全漏洞,这些安全问题是Asp程序开发者和管理者一直努力解决的问题。本文试图从服务器端、数据库端、Asp程序设计三个方面对Asp的安全技术进行分析。
      一、2 ASP的安全技术分析
       (一) Web服务器端的安全技术
  1.目录文件的保护
  (1) NTFS权限。NTFS文件系统提供了比Fat32更为安全的文件管理方式,它通过文件访问控制表(ACL)定义了用户访问文件和目录的权限级别,如果用户具有打开文件的权限,计算机则允许该用户访问文件。通过设定目录和文件的访问权限,禁止无关用户对目录文件进行复制、修改、删除等操作,限制对系统的入侵。
  (2) 虚拟目录及其属性设置。虚拟目录隐藏了有关站点目录结构的重要信息,在Asp环境下,较安全的做法是将Asp脚本和HTML文件分开存放在不同的目录下,将存放HTML文件的目录设为只读属性,将存放Asp脚本的目录设为执行属性。
  (3)防止查看Asp文件。IIS自带的Code.asp或Showcode.asp文件,可以查看Asp程序的源代码,从而窃取相关的信息。可以在Web服务器端删除该文件或者禁止访问存放该文件的目录。
  2.限制访问技术
  (1)IP地址限制。IIS能够授权或拒绝特定IP地址对其访问,通过拒绝某特定IP地址的访问,以排除入侵干扰。具体设置:A启动ISM(Internet服务管理器);B启动Web属性页中“高级”选项卡;C进行指定IP地址的控制设置。
  (2)用户访问控制。IIS提供了对站点资源进行匿名访问与验证控制设置,Web服务器根据设置对用户的身份进行验证,阻止未授权用户与受限制内容建立Http连接。具体设置:在Web站点的“目录安全性”属性页中选择“匿名访问和验证控制”进行编辑。匿名访问允许客户端以IUSR-Computername为帐号与Web服务器建立连接(密码随机提供)。对于非匿名访问,有三种验证方式:基本验证,允许用户名及密码以未加密(明文)方式发送;简要验证,仅在域控制器的域中被支持,它通过网络发送经过混编的值(即利用“散列算法”计算的消息摘要)而不是密码进行验证。集成Windows验证,使用安全套接字层(SSL)自动加密用户名和密码。
  (3)防火墙技术。防火墙的目的是为内部网络或主机提供安全保护,阻止对信息资源的非法访问,强制所有连接都必须经过此保护层。防火墙包括包过滤和代理两种,包过滤主要是针对特定IP地址的主机所提供的服务,其基本原理是在网络传输的IP层截获往来和IP包信息,确定是否对此IP包进行转发。代理的基本原理是对Web服务单独构造一个代理程序,不允许客户程序与服务器程序直接交互,必须通过代理程序双方才能进行信息的交互。在实际构建时,通常由过滤器提供第一级的安全防护,再由代理服务器提供更高级的安全防护机制。
  3.审核与监视技术。安全审核负责监视系统中各种与安全有关的事件,生成安全日志,并提供查看安全日志的方法。通过分析安全日志,可以发现并阻止各种危及系统安全的行为。Windows2K默认安装下,安全审核是关闭的。要进行审核,必须先确定审核策略,指定要审核的安全事件的类别。具体的设置:在“管理工具-本地安全策略-本地策略-审核策略”中打开必要的审核。除了安全日志,系统日志和应用程序日志也是很好的监视工具,它们记录了用户自登录开始直到退出的整个操作过程,为网络安全分析提供可靠的依据。
  4.SSL安全机制。SSL (Secure Socket Layer)是一个运行在Http层和TCP层间的安全协议,确保传递信息的安全性。SSL是工作在公共密钥和私有密钥基础上的,任何用户都可以获取公共密钥来加密数据,但解密数据必须要通过相应的私有密钥。目前,SSL已被视为Internet上Web浏览器和服务器的标准安全性措施。由于SSL技术已建立到所有主要的浏览器和Web服务器程序中,因此,仅需安装数字证书或服务器证书就可以激活服务器功能。建立SSL安全机制后,只有SSL允许的客户才能与SSL允许的Web站点进行通信,浏览器连接到使用Https://的地址,而不是URL中的协议。
  5.关闭不用的服务和协议,堵上系统的漏洞和后门。“尽量少开没用到的服务”,如果开启了某个服务,就要提防该服务可能引起的漏洞。同时要定期下载操作系统、IIS、ASP和DBMS最新漏洞的补丁,将可能发生的安全隐患减到最少。
       (二)ASP程序设计安全技术
  Asp程序设计的安全主要涉及两个方面:一是Asp源代码的安全,二是Asp程序设计中的安全。常见的安全技术如下:
  1.用户名、口令机制。用户名、口令是基本的安全技术,在Asp中常采用Form表单提交用户输入的帐号和密码,与用户标识数据库中相应的字段进行匹配。
  2.Cookie的安全性。为防止非法用户访问合法用户的会话变量,服务器为每个SessionID指派一个随机生成号码。每当用户的Web浏览器返回一个SessionID Cookie时,服务器取出SessionID被赋予的数字,检查与存储在服务器上的生成号码是否一致,如果不一致则不允许用户访问会话变量。同时,应加密重要的Sessionid Cookie。一旦黑客截获了用户的Sessionid Cookie,就能假冒该用户开始一个活动会话。
版权声明:本文为博主原创文章,未经博主允许不得转载。

相关文章推荐

ASP.NET温故而知新学习系列之网站安全技术—Web.config加密和解密(一)

阅读目录   一:我们为什么要对web.config配置文件中的配置节加密?   二:怎么样加密和解密?   三:实例   四:运行效果   一:我们为什么要对web.config配置文件中...

ASP.NET温故而知新学习系列之网站安全技术—预防脚本攻击(二)

阅读目录   一:脚本攻击   二:模拟脚本攻击   三:运行效果   四:预防脚本攻击的主要方法   一:脚本攻击   脚本攻击是指将恶意的字符插入到网页中来,浏...

360杯信息安全技术大赛Web第一题分析

原题如下,提示是 程序员的坏习惯 根据提示,在当前URL后加.bak,获得源码 <?php error_reporting(0); function auth($password, $hidde...

移动支付的不同安全技术的分析

通过对移动支付安全问题的种类,一般认为可以通过无线公钥基础设施(WPK I)、WAP 安全、身份认证等方式来确保移动支付的安全性。 1、无线公钥基础设施(WPKI) WPKI (Wireless ...
  • ffm83
  • ffm83
  • 2015-01-26 13:29
  • 1156

第二届360杯全国大学生信息安全技术大赛部分解题思路(逆向分析)

/* 逆向分析第一题 解题攻略: 已限定为用户名为:strawberry 分析该程序算法,得出该用户名所对应的Key 正确答案:K$q*a_+@Xt 逆向分析第二题 解题攻略: 已在压缩包中给定了...

『网络技术』 [网络安全]计算机网络信息安全技术分析

随着计算机网络技术广泛应用和飞速发展,计算机信息网络已成为现代信息社会的基础设施。由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,它作为进行信息交流、开展各种社会活动的...
  • xkjcf
  • xkjcf
  • 2012-08-01 11:59
  • 4019
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:深度学习:神经网络中的前向传播和反向传播算法推导
举报原因:
原因补充:

(最多只允许输入30个字)