ASP網(wǎng)站的主要安全隱患與防范策略,asp論文

ASP網(wǎng)站的主要安全隱患與防范策略,asp論文內(nèi)容摘要：隨著計(jì)算機(jī)技術(shù)的不斷創(chuàng)新與發(fā)展,我們國(guó)家用于網(wǎng)頁開發(fā)設(shè)計(jì)的軟件與工具越來越多,華而不實(shí)ASP便是服務(wù)器端網(wǎng)頁設(shè)計(jì)技術(shù)中的一種,這項(xiàng)技術(shù)能有效地將腳本、超文本和龐大的數(shù)據(jù)庫(kù)進(jìn)行關(guān)聯(lián),并融合了強(qiáng)大的訪問功能,這項(xiàng)技術(shù)的優(yōu)異性在于其將高效、簡(jiǎn)單、易擴(kuò)展等多種性質(zhì)結(jié)合在一起。因而,在互聯(lián)網(wǎng)中,我們能找到很多以此為基礎(chǔ)的免費(fèi)源碼,部分企業(yè)甚至直接將其下載,并以此為基礎(chǔ)建立自個(gè)的網(wǎng)站,但這一做法存在很多網(wǎng)站安全防護(hù)的問題。本文關(guān)鍵詞語：ASP;網(wǎng)站安全;安全漏洞;防備策略;隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展,為了更好地發(fā)揮互聯(lián)網(wǎng)這個(gè)世界最大溝通平臺(tái)的作用,越來越多的企業(yè)單位都相應(yīng)的加大了網(wǎng)站建設(shè)的投入力度。而在諸多Web數(shù)據(jù)庫(kù)的訪問技術(shù)匯總,ASP技術(shù)因其開發(fā)周期短、數(shù)據(jù)存儲(chǔ)方面、易操作、效率高等性質(zhì)脫穎而出,被廣大程序員所喜歡。1、ASP在網(wǎng)絡(luò)安全上的優(yōu)點(diǎn)在編寫ASP腳本時(shí),最常用的腳本編寫語言有VBScript,JavaScript以及JScript這三種腳本語言,并結(jié)合頁面腳本,進(jìn)而構(gòu)成ASP腳本文件。當(dāng)人們想對(duì)ASP文件進(jìn)行訪問時(shí),會(huì)通過Web閱讀器,向Web服務(wù)器發(fā)出請(qǐng)求,在Web服務(wù)器針對(duì)訪問請(qǐng)求的ASP文件進(jìn)行判定后,在進(jìn)行調(diào)用,并根據(jù)相應(yīng)的語法分析以及解釋執(zhí)行,轉(zhuǎn)化為標(biāo)準(zhǔn)的格式內(nèi)容,最后才會(huì)呈如今用戶的Web閱讀器中。這便是ASP執(zhí)行的全經(jīng)過,而這一經(jīng)過的優(yōu)異性主要分為下面幾點(diǎn)。1.1、不泄露源代碼ASP相比于其它客戶端執(zhí)行的JavaScript等類型程序,其在網(wǎng)絡(luò)安全防護(hù)中有著極為突出的優(yōu)勢(shì),客戶端無法觀看ASP源程序,所接遭到的數(shù)據(jù)信息只是通經(jīng)過序轉(zhuǎn)化后的語言,這一處理方式不僅有效地維護(hù)了ASP開發(fā)人員的本身利益,同時(shí)還對(duì)網(wǎng)站的安全防護(hù)起到了重要作用。1.2、支持虛擬目錄虛擬目錄的建立是為了隱藏個(gè)網(wǎng)站點(diǎn)的目錄構(gòu)造,以防因站點(diǎn)目錄構(gòu)造暴露而遭受網(wǎng)絡(luò)攻擊的問題發(fā)生,因而虛擬目錄的建立是網(wǎng)站安全防護(hù)中重要的存在。另外,網(wǎng)站的源代碼在無需經(jīng)過任何修飾、更改的情況下,便能直接在另一臺(tái)服務(wù)器中運(yùn)行,并且管理員能夠通過對(duì)虛擬目錄中的設(shè)置來更改相應(yīng)的權(quán)限,進(jìn)而提升ASP程序的運(yùn)行效率與安全性。2、ASP網(wǎng)站的主要安全隱患固然以ASP技術(shù)為基礎(chǔ)開發(fā)的網(wǎng)站具有很多的優(yōu)勢(shì),但這類網(wǎng)站在運(yùn)行的經(jīng)過中仍然存在很多的安全隱患,而造成安全隱患的因素有很多,如網(wǎng)站設(shè)計(jì)人員水平的限制、系統(tǒng)軟件中存在的漏洞、計(jì)算機(jī)中的病毒以及網(wǎng)站維護(hù)人員的技術(shù)水平和責(zé)任意識(shí)等,這些因素都是影響網(wǎng)站正常運(yùn)行的重要因素,并為網(wǎng)站中信息的安全性造成宏大的隱患,為此筆者就華而不實(shí)最為主要的幾個(gè)方面進(jìn)行闡述:2.1、設(shè)計(jì)上的漏洞網(wǎng)站設(shè)計(jì)人員由于本身技術(shù)水平等因素的限制,直接利用網(wǎng)上免費(fèi)的源代碼和免費(fèi)程序,甚至部分網(wǎng)站設(shè)計(jì)人員直接將自個(gè)設(shè)計(jì)的ASP網(wǎng)站中的數(shù)據(jù)庫(kù)途徑以及大量的用戶名、密碼公開在程序中,這種設(shè)計(jì)漏洞為攻擊者提供了有效破解密碼、進(jìn)入數(shù)據(jù)庫(kù)等入侵方式,這給網(wǎng)站的安全運(yùn)行帶來宏大的安全隱患。2.2、系統(tǒng)軟件和管理上的漏洞我們國(guó)家較為常用的計(jì)算機(jī)操作系統(tǒng)為Windows操作系統(tǒng),網(wǎng)站所采用的數(shù)據(jù)庫(kù)系統(tǒng)也主要為Access、SQLSERVER,但這些操作系統(tǒng)和系統(tǒng)軟件都存在相應(yīng)的安全漏洞,并在管理上存在一定的缺陷,如注冊(cè)表、特殊系統(tǒng)命令、用戶權(quán)限口令等計(jì)算機(jī)安全設(shè)置,一旦存在設(shè)置錯(cuò)誤、不當(dāng)?shù)葐栴},便會(huì)給網(wǎng)站的安全運(yùn)行造成極大的影響。2.3、后臺(tái)管理用戶使用安全問題網(wǎng)站的后臺(tái)管理用戶由于本身不良的上網(wǎng)習(xí)慣以及責(zé)任意識(shí)等因素,都多網(wǎng)站的安全運(yùn)行造成極大的影響。例如后臺(tái)管理用戶所設(shè)置的用戶名與密碼過于簡(jiǎn)單,且長(zhǎng)期使用不更改,進(jìn)而被其別人破解使用。3、對(duì)ASP安全隱患的防備策略3.1、源程序泄露的防備網(wǎng)站設(shè)計(jì)人員在對(duì)ASP主頁進(jìn)行設(shè)計(jì)制作的經(jīng)過中,在沒進(jìn)行最后的調(diào)試之前,其它人便能夠通過某些特定的搜索引擎對(duì)此ASP網(wǎng)頁進(jìn)行搜索,這樣便能對(duì)ASP網(wǎng)頁中的相關(guān)文件進(jìn)行定位,并通過相應(yīng)的閱讀器對(duì)相關(guān)的數(shù)據(jù)庫(kù)進(jìn)行查看,然后獲取ASP網(wǎng)頁的源代碼。因而,為了避免源程序泄露問題的發(fā)生,網(wǎng)站設(shè)計(jì)人員應(yīng)在網(wǎng)頁的發(fā)布前完成調(diào)試,然后再針對(duì)ASP相關(guān)文件進(jìn)行加固處理,以防止其別人直接觀看文件的源代碼。3.2、防止驗(yàn)證被繞過當(dāng)前,絕大部分ASP程序的驗(yàn)證僅靠頁面頭部所添加的判定句,但這種簡(jiǎn)單的處理方式對(duì)于黑客來講,能很容易繞過。因而,為了防止驗(yàn)證被繞過問題,應(yīng)在ASP頁面上添加上一個(gè)頁面的文件名,因而,只要訪問過上一個(gè)頁面的用戶才能閱讀這一頁面的信息,進(jìn)而杜絕了驗(yàn)證被繞過問題的發(fā)生。3.3、用戶名與口令破解的防備在眾多攻擊網(wǎng)站獲取網(wǎng)站源代碼的方式中,用戶名與口令的破解往往是黑客最為喜歡的方式,而一旦被他們獲取了源代碼,便會(huì)造成嚴(yán)重的影響。為此,網(wǎng)站設(shè)計(jì)人員應(yīng)將牽涉用戶名與口令的程序全部封存進(jìn)服務(wù)器端中,同時(shí)限制能夠連接數(shù)據(jù)庫(kù)的用戶名與口令的權(quán)利。另外,任何與數(shù)據(jù)庫(kù)能夠進(jìn)行直接連接的用戶名與口令,應(yīng)限制其修改、插入以及刪除記錄等權(quán)限,所能保存的權(quán)利僅能為執(zhí)行與儲(chǔ)存。3.4、防火墻技術(shù)的應(yīng)用防火墻作為網(wǎng)站安全防護(hù)中重要的防護(hù)屏障,其能有效地監(jiān)控本身網(wǎng)站與外網(wǎng)間傳遞的數(shù)據(jù)包,并包含管理網(wǎng)絡(luò)中最為有效的措施,如網(wǎng)絡(luò)訪問的控制。防火墻會(huì)針對(duì)陌生且具有危險(xiǎn)可能性的信息及時(shí)地對(duì)用戶發(fā)出警告,進(jìn)而對(duì)病毒、木馬程序以及非法信息數(shù)據(jù)起到良好的攔截與限制作用,并能針對(duì)網(wǎng)站中各種進(jìn)出數(shù)據(jù)進(jìn)行監(jiān)控。防火墻作為網(wǎng)站中最為關(guān)鍵的存在,不僅能對(duì)網(wǎng)站的安全運(yùn)行起到關(guān)鍵作用,同時(shí)還能具有身份驗(yàn)證等實(shí)用功能。另外,防火墻還能根據(jù)管理者本身的要求,針對(duì)信息數(shù)據(jù)進(jìn)行挑選,進(jìn)而起到有效攔截的作用。3.5、加強(qiáng)硬件服務(wù)器系統(tǒng)安全配置隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展,越來越多的病毒出如今網(wǎng)絡(luò)中,為了針對(duì)病毒日益猖獗這一問題,不僅要對(duì)網(wǎng)站服務(wù)器安裝相應(yīng)的防火墻,同時(shí)還要安裝相應(yīng)的殺毒軟件來控制病毒的傳播與蔓延。但在使用殺毒軟件的同時(shí),還需要注意下面幾點(diǎn)問題:定期對(duì)殺毒軟件進(jìn)行更新升級(jí);定期對(duì)服務(wù)器系統(tǒng)更新下載系統(tǒng)補(bǔ)丁;關(guān)閉不必要的程序與服務(wù),降低系統(tǒng)資源的占用率。3.6、ASP網(wǎng)站安全配置為了確保服務(wù)器的正常運(yùn)行,除了設(shè)置虛擬目錄、限制上傳目錄的執(zhí)行權(quán),還能夠根據(jù)本身要求對(duì)ASP網(wǎng)站的硬件服務(wù)器進(jìn)行相應(yīng)的安全配置。當(dāng)前,我們國(guó)家絕大部分的服務(wù)器操作系統(tǒng)都為windows2003,以此為例,能夠?qū)⒎?wù)器的磁盤轉(zhuǎn)化為NTFS格式,然后就系統(tǒng)管理員進(jìn)行改名,并設(shè)置安全性較高的密碼。另外,還能夠額外開創(chuàng)建立權(quán)限低的系統(tǒng)管理員賬號(hào),這樣便能有效地提升服務(wù)器的安全性,增加黑客入侵系統(tǒng)的難度。3.7、提高風(fēng)險(xiǎn)管理意識(shí)系統(tǒng)的安全管理最為網(wǎng)站安全防護(hù)措施中的重要組成,其本質(zhì)便是對(duì)風(fēng)險(xiǎn)進(jìn)行控制。網(wǎng)站安全管理人員首先要就網(wǎng)站所面臨的潛在風(fēng)險(xiǎn)進(jìn)行全面的了解,并就此進(jìn)行分析,然后再根據(jù)得出的構(gòu)造制定相應(yīng)的安全防護(hù)措施。為了確保安全防護(hù)措施的有效性,應(yīng)每年最少進(jìn)行一次應(yīng)急演練,進(jìn)而保持一個(gè)高效的安全管理效率。另外,就網(wǎng)站運(yùn)行經(jīng)過中存在的安全風(fēng)險(xiǎn)以及能夠發(fā)生的安全問題,進(jìn)行不間斷的檢測(cè)是必要的。為此,建立一個(gè)遠(yuǎn)程監(jiān)控平臺(tái),就網(wǎng)站的日常運(yùn)行進(jìn)行全天候不間斷的監(jiān)控,一旦檢測(cè)出安全問題,便會(huì)向管理人員發(fā)出警報(bào),并能針對(duì)過往數(shù)據(jù)進(jìn)行分析,為管理人員施行安全防護(hù)措施提供有效的參考意見。4、結(jié)束語隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展,互聯(lián)網(wǎng)這個(gè)世界溝通平臺(tái)的重要性逐步被人們所認(rèn)知,絕大部分企業(yè)單位都加大了網(wǎng)站建設(shè)的投入力度,因而網(wǎng)站的安全防護(hù)措施的研究已成為當(dāng)下網(wǎng)絡(luò)程序開發(fā)領(lǐng)域中重要組成。而基于ASP的網(wǎng)站,由于其本身的缺陷,其安全問題更應(yīng)得到及時(shí)的解決與處理,為我