ASP 應(yīng)用程序的安全

1、    千萬(wàn)不要輕視正確配置安全設(shè)置的重要性。如果不正確配置安全設(shè)置，不但會(huì)使您的 ASP 應(yīng)用程序遭受不必要的篡改，而且會(huì)妨礙正當(dāng)用戶訪問(wèn)您的 .asp 文件。Web 服務(wù)器提供了各種方法來(lái)保護(hù)您的 ASP 應(yīng)用程序免受未授權(quán)的訪問(wèn)和篡改。在您讀完本主題下的安全信息之后，請(qǐng)花一定的時(shí)間仔細(xì)檢查一下您的 Windows NT 和 Web 服務(wù)器安全性文檔。詳細(xì)信息，請(qǐng)參閱 安全性。NTFS 權(quán)限您可以通過(guò)為單獨(dú)的文件和目錄應(yīng)用 NTFS 訪問(wèn)權(quán)限來(lái)保護(hù) ASP 應(yīng)用程序文件。NTFS 權(quán)限是 Web 服務(wù)器安全性的基礎(chǔ)，它定義了一個(gè)或一組用戶訪問(wèn)文件和目

2、錄的不同級(jí)別。當(dāng)擁有 Windows NT 有效帳號(hào)的用戶試圖訪問(wèn)一個(gè)有權(quán)限限制的文件時(shí)，計(jì)算機(jī)將檢查文件的 訪問(wèn)控制表 (ACL)。該表定義了不同用戶和用戶組所被賦予的權(quán)限。如果用戶的帳號(hào)具有打開(kāi)文件的權(quán)限，計(jì)算機(jī)則允許該用戶訪問(wèn)文件。例如，Web 服務(wù)器上的 Web 應(yīng)用程序的所有者需要有“更改”權(quán)限來(lái)查看、更改和刪除應(yīng)用程序的 .asp 文件。但是，訪問(wèn)該應(yīng)用程序的公共用戶應(yīng)僅被授予“只讀”權(quán)限，以便將其限制為只能查看而不能更改應(yīng)用程序的 Web 頁(yè)。維護(hù) Global.asa 的安全為了充分保護(hù) ASP 應(yīng)用程序，一定要在應(yīng)用程序的 Global.asa 文件上為適當(dāng)?shù)挠脩艋蛴脩艚M設(shè)置

3、 NTFS 文件權(quán)限。如果 Global.asa 包含向?yàn)g覽器返回信息的命令而您沒(méi)有保護(hù) Global.asa 文件，則信息將被返回給瀏覽器，即便應(yīng)用程序的其他文件被保護(hù)。有關(guān)配置 NTFS 權(quán)限的詳細(xì)信息，請(qǐng)參閱 訪問(wèn)控制。注意： 一定要對(duì)應(yīng)用程序的文件應(yīng)用統(tǒng)一的 NTFS 權(quán)限。例如，如果您不小心過(guò)度限制了一應(yīng)用程序需要包含的文件的 NTFS 權(quán)限，則用戶可能無(wú)法查看或運(yùn)行該應(yīng)用程序。為了防止此類問(wèn)題，在為您的應(yīng)用程序分配 NTFS 權(quán)限之前應(yīng)仔細(xì)計(jì)劃。Web 服務(wù)器權(quán)限您可以通過(guò)配置您的 Web 服務(wù)器的權(quán)限來(lái)限制所有用戶查看、運(yùn)行和操作您的 ASP 頁(yè)的方式。不同于 NTFS 權(quán)限提供

4、的控制特定用戶對(duì)應(yīng)用程序文件和目錄的訪問(wèn)方式， Web 服務(wù)器權(quán)限應(yīng)用于所有用戶，并且不區(qū)分用戶帳號(hào)的類型。對(duì)于要運(yùn)行您的 ASP 應(yīng)用程序的用戶，在設(shè)置 Web 服務(wù)器權(quán)限時(shí)，必須遵循下列原則：對(duì)包含 .asp 文件的虛擬目錄允許“讀”或“腳本”權(quán)限。對(duì) .asp 文件和其他包含腳本的文件（如 .htm 文件等）所在的虛目錄允許“讀”和“腳本”權(quán)限。對(duì)包含 .asp 文件和其他需要“執(zhí)行”權(quán)限才能運(yùn)行的文件（如 .exe 和 .dll 文件等）的虛目錄允許“讀”和“執(zhí)行”權(quán)限。有關(guān)配置 Web 服務(wù)器權(quán)限的詳細(xì)信息，請(qǐng)參閱 訪問(wèn)控制。腳本映射文件應(yīng)用程序的腳本映射保證了 Web 服務(wù)器不會(huì)意

5、外地下載 .asp 文件的源代碼。例如，即使您為包含了某個(gè) .asp 文件的目錄設(shè)置了“讀”權(quán)限，只要該 .asp 文件隸屬于某個(gè)腳本映射應(yīng)用程序，那么您的 Web 服務(wù)器就不會(huì)將該文件的源代碼返回給用戶。Cookie 安全性ASP 使用 SessionID cookie 跟蹤應(yīng)用程序訪問(wèn)或會(huì)話期間特定的 Web 瀏覽器的信息。這就是說(shuō)，帶有相應(yīng)的 cookie 的 HTTP 請(qǐng)求被認(rèn)為是來(lái)自同一 Web 瀏覽器。Web 服務(wù)器可以使用 SessionID cookies 配置帶有用戶特定會(huì)話信息的 ASP 應(yīng)用程序。例如，如果您的應(yīng)用程序是一個(gè)允許用戶選擇和購(gòu)買 CD 唱盤的聯(lián)機(jī)音樂(lè)商店，就

6、可以用 SessionID 跟蹤用戶漫游整個(gè)應(yīng)用程序時(shí)的選擇。SessionID 能否被黑客猜中？為了防止計(jì)算機(jī)黑客猜中 SessionID cookie 并獲得對(duì)合法用戶的會(huì)話變量的訪問(wèn)，Web 服務(wù)器為每個(gè) SessionID 指派一個(gè)隨機(jī)生成號(hào)碼。每當(dāng)用戶的 Web 瀏覽器返回一個(gè) SessionID cookie 時(shí)，服務(wù)器取出 SessionID 和被賦予的數(shù)字，接著檢查是否與存儲(chǔ)在服務(wù)器上的生成號(hào)碼一致。若兩個(gè)號(hào)碼一致，將允許用戶訪問(wèn)會(huì)話變量。這一技術(shù)的有效性在于被賦予的數(shù)字的長(zhǎng)度（64 位），此長(zhǎng)度使計(jì)算機(jī)黑客猜中 SessionID 從而竊取用戶的活動(dòng)會(huì)話的可能性幾乎為 0。加

7、密重要的 SessionID Cookie截獲了用戶 sessionID cookie 的計(jì)算機(jī)黑客可以使用此 cookie 假冒該用戶。如果 ASP 應(yīng)用程序包含私人信息，信用卡或銀行帳戶號(hào)碼，擁有竊取的 cookie 的計(jì)算機(jī)黑客就可以在應(yīng)用程序中開(kāi)始一個(gè)活動(dòng)會(huì)話并獲取這些信息。您可以通過(guò)對(duì)您的 Web 服務(wù)器和用戶的瀏覽器間的通訊鏈路加密來(lái)防止 SessionID cookie 被截獲。有關(guān)加密的詳細(xì)信息，請(qǐng)參閱 安全性。使用身份驗(yàn)證機(jī)制保護(hù)被限制的 ASP 內(nèi)容您可以要求每個(gè)試圖訪問(wèn)被限制的 ASP 內(nèi)容的用戶必須要有有效的 Windows NT 帳號(hào)的用戶名和密碼。每當(dāng)用戶試圖訪問(wèn)被限制的內(nèi)容時(shí)，Web 服務(wù)器將進(jìn)行身份驗(yàn)證，即確認(rèn)用戶身份，以檢查用戶是否擁有有效的 Windows NT 帳號(hào)。Web 服務(wù)器支持以下幾種身份驗(yàn)證方式：基本身份驗(yàn)證 提示用戶輸入用戶名和密碼。Win