ASP环境下的安全技术分析_第1页
ASP环境下的安全技术分析_第2页
ASP环境下的安全技术分析_第3页
ASP环境下的安全技术分析_第4页
ASP环境下的安全技术分析_第5页
已阅读5页,还剩1页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、ASP环境下的平安技术分析【摘要】文章从asp系统的全局出发,从eb效劳器端、数据库端、asp程序设计三个方面对asp的平安技术进展分析和总结,并指出asp的平安应以预防为主。【关键词】asp;平安;eb效劳器;数据库asp是微软推出的效劳器端脚本环境,它把脚本、htl、ativex组件有机地结合在一起,形成动态、交互、高效的eb效劳器应用程序。目前,iis+asp+sql或aess方案已成为中小型企业构建自己网上信息系统的首选方案。虽然asp具有快速开发才能,但asp也存在不容无视的平安破绽,这些平安问题是asp程序开发者和管理者一直努力解决的问题。本文试图从效劳器端、数据库端、asp程序设

2、计三个方面对asp的平安技术进展分析。一、2asp的平安技术分析一eb效劳器端的平安技术1目录文件的保护1ntfs权限。ntfs文件系统提供了比fat32更为平安的文件管理方式,它通过文件访问控制表al定义了用户访问文件和目录的权限级别,假如用户具有翻开文件的权限,计算机那么允许该用户访问文件。通过设定目录和文件的访问权限,制止无关用户对目录文件进展复制、修改、删除等操作,限制对系统的入侵。2虚拟目录及其属性设置。虚拟目录隐藏了有关站点目录构造的重要信息,在asp环境下,较平安的做法是将asp脚本和htl文件分开存放在不同的目录下,将存放htl文件的目录设为只读属性,将存放asp脚本的目录设为

3、执行属性。3防止查看asp文件。iis自带的de.asp或shde.asp文件,可以查看asp程序的源代码,从而窃取相关的信息。可以在eb效劳器端删除该文件或者制止访问存放该文件的目录。2限制访问技术1ip地址限制。iis可以受权或回绝特定ip地址对其访问,通过回绝某特定ip地址的访问,以排除入侵干扰。详细设置:a启动isinternet效劳管理器;b启动eb属性页中“高级选项卡;进展指定ip地址的控制设置。2用户访问控制。iis提供了对站点资源进展匿名访问与验证控制设置,eb效劳器根据设置对用户的身份进展验证,阻止未受权用户与受限制内容建立 连接。详细设置:在eb站点的“目录平安性属性页中选

4、择“匿名访问和验证控制进展匿名访问允许客户端以iusr-puternae为帐号与eb效劳器建立连接密码随机提供。对于非匿名访问,有三种验证方式:根本验证,允许用户名及密码以未加密明文方式发送;简要验证,仅在域控制器的域中被支持,它通过网络发送经过混编的值即利用“散列算法计算的消息摘要而不是密码进展验证。集成inds验证,使用平安套接字层ssl自动加密用户名和密码。3防火墙技术。防火墙的目的是为内部网络或主机提供平安保护,阻止对信息资源的非法访问,强迫所有连接都必须经过此保护层。防火墙包括包过滤和代理两种,包过滤主要是针对特定ip地址的主机所提供的效劳,其根本原理是在网络传输的ip层截获往来和i

5、p包信息,确定是否对此ip包进展转发。代理的根本原理是对eb效劳单独构造一个代理程序,不允许客户程序与效劳器程序直接交互,必须通过代理程序双方才能进展信息的交互。在实际构建时,通常由过滤器提供第一级的平安防护,再由代理效劳器提供更高级的平安防护机制。3审核与监视技术。平安审核负责监视系统中各种与平安有关的事件,生成平安日志,并提供查看平安日志的方法。通过分析平安日志,可以发现并阻止各种危及系统平安的行为。inds2k默认安装下,平安审核是关闭的。要进展审核,必须先确定审核策略,指定要审核的平安事件的类别。详细的设置:在“管理工具-本地平安策略-本地策略-审核策略中翻开必要的审核。除了平安日志,

6、系统日志和应用程序日志也是很好的监视工具,它们记录了用户自登录开场直到退出的整个操作过程,为网络平安分析提供可靠的根据。4ssl平安机制。ssl(seuresketlayer是一个运行在 层和tp层间的平安协议,确保传递信息的平安性。ssl是工作在公共密钥和私有密钥根底上的,任何用户都可以获取公共密钥来加密数据,但解密数据必需要通过相应的私有密钥。目前,ssl已被视为internet上eb阅读器和效劳器的标准平安性措施。由于ssl技术已建立到所有主要的阅读器和eb效劳器程序中,因此,仅需安装数字证书或效劳器证书就可以激活效劳器功能。建立ssl平安机制后,只有ssl允许的客户才能与ssl允许的e

7、b站点进展通信,阅读器连接到使用 s:/的地址,而不是url中的协议。5关闭不用的效劳和协议,堵上系统的破绽和后门。“尽量少开没用到的效劳,假如开启了某个效劳,就要提防该效劳可能引起的破绽。同时要定期下载操作系统、iis、asp和dbs最新破绽的补丁,将可能发生的平安隐患减到最少。二asp程序设计平安技术asp程序设计的平安主要涉及两个方面:一是asp源代码的平安,二是asp程序设计中的平安。常见的平安技术如下:1用户名、口令机制。用户名、口令是根本的平安技术,在asp中常采用fr表单提交用户输入的帐号和密码,与用户标识数据库中相应的字段进展匹配。2kie的平安性。为防止非法用户访问合法用户的

8、会话变量,效劳器为每个sessinid指派一个随机生成号码。每当用户的eb阅读器返回一个sessinidkie时,效劳器取出sessinid被赋予的数字,检查与存储在效劳器上的生成号码是否一致,假如不一致那么不允许用户访问会话变量。同时,应加密重要的sessinidkie。一旦黑客截获了用户的sessinidkie,就能假冒该用户开场一个活动会话。3注册验证。为防止未注册用户绕过注册界面直接进入应用系统,常利用sessin对象和 头信息来实现平安控制。当访问者通过身份验证页面后,就把sessin对象的sessinid属性作为一个sessin变量存储起来,当访问者试图导航到一种有效链接的页面时,

9、可将当前的sessinid与存储在sessin对象中的id进展比拟,假如不匹配,那么回绝访问。如在sessin“id中保存着第一次链接的sessinid,%ifsessin.sessinidsessin(“id)thenrespnse.end%回绝访问。4页面缓存管理。假如阅读器设置了“阅读网页时首先查看本地缓冲区里的页面,就给非法用户提供了越权阅读的时机。因此,重要的eb页面如身份验证页面必须制止页面缓存,强迫阅读器每次向eb效劳器恳求新页面。利用asp的respnse对象的expires属性和lear方法可解决此问题。详细设置:respnse.expires=0rspnse.lear,ex

10、pires表示缓存页面的有效期,0表示立即过期,lear表示清空缓冲区。5asp脚本加密技术。对asp页面加密是防止asp源代码泄露的重要方法,常用方法有两种:一是asp2dll技术。其根本思想是利用vb6.0提供的ativexdll对象将asp代码进展封装,编译为dll文件,在asp程序中调用该dll文件。二是利用微软提供的sriptender加密软件对asp页面进展加密。6屏蔽数据库途径信息。为防止数据库途径和名称随asp源代码失密而失密,常采用以下技术:a、使用db数据源。使用db数据源连接数据库的命令是nn.pen“dsn名。b、使用数据链接文件来连接数据库。详细方法是新建一个数据链接

11、文件假定为ab.udl,翻开该文件进展相应的设置,测试连接后,在程序中用语句实现连接:nn.penfilenae=途径名:ab.udl。、插入in文件。将文本连接信息保存在以in为扩展名的文件中,然后在asp页顶端插入一个包含语句:!-#inludevirtual=*(文件名).in-。7置适宜的脚本映射。应用程序的脚本映射保证了eb效劳器不会意外地下载asp文件的源代码,但不平安或有错误的脚本映射易导致asp源代码泄漏。因此,应将用不到的有一定危险性的脚本映射删掉如*.htr文件及*.ht,*.ida,*.idq等索引文件。三数据库端的平安技术在asp环境中,常用的后台数据库是aess和sq

12、lserver,下面分别对它们在asp环境下常用的平安技术进展分析。1aess数据库的平安1非常规命名法。为防止数据库被找到,可为aess数据库文件起一个复杂非常规的名字,并存放在多层目录下。这样,可以有效阻止通过猜的方式得到数据库文件名。2为数据库文件编码及加密。为防止别人使用其他工具查看数据库文件,可以对数据库文件进展编码,详细做法是选择“工具平安编码/解码数据库。为数据库设置密码的详细做法:以“独占的方式翻开数据库,在功能表中选择“工具平安设置数据库密码。但是,aess的加密机制比拟简单,根据其“与某一固定密钥异或形成加密钥的加密思想,很容易编制解密程序。因此还必须借助于其他平安措施如身

13、份认证和权限控制来保证数据库的平安。2sqlserver数据库的平安1更改sa口令,取消guest帐号。sa具有对sqlserver数据库操作的全部权限,但在安装sqlserver时sa缺省口令为空,为sqlserver带来了潜在的隐患,应把sa的口令换为更平安的口令,同时不能把sa帐号的密码写在应用程序或者脚本中。2控制访问权限。定义用户和角色对数据库、数据表和数据列的访问权限,限制用户对表拥有直接的查询、更改、插入、删除权限,可以通过给用户访问视图和执行存储过程的权限,以保证数据库的平安。3限制sqlserver自带的存储过程。在sqlserver攻击中有一类是构造特殊字符串调用sqlse

14、rver系统中aster数据库自带的存储过程来获取权限。如下面的字符串使用xp_dshell存储过程调用系统的net命令将test帐号参加管理员组。usernae=;exeaster.db.xp_dshellnetlalgrupadinistratrstest/add:-。因此可以去除或限制sqlserver系统中自带的存储过程。4加强数据库访问日志的监视,定期备份数据库。审核数据库登录事件的“失败和成功,在实例属性中选择“平安性,将其中的审核级别选定为全部,这样在数据库系统日志里就详细记录了所有帐号的登录事件,一旦出现问题可以查出原因,及时补救。同时,制订完好的数据库备份策略,在必要的时候可以实现对数据库的恢复。三、结语asp环境下的平安问题应从系统的全局进展分析和考虑,既要保证系统平安,又要获得良好的系统性能。本文从效劳器端、数据库端、asp程序设计三个方面对asp平安技术进展分析和总结,但随着新的攻击手段和方法不断涌现,要构

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论