关于ＡＳＰ网站设计安全性探讨

　　论文关键词：asp；黑客攻击；sql注入；安全漏洞；木马 后门
　　论文摘要：网络上的动态网站以asp为多数，我们学校的网站也是asp的。笔者作为学校网站的制作和维护人员，与asp攻击的各种现象斗争了多次，也对网站进行了一次次的修补，根据工作经验，就asp网站设计常见安全漏洞及其防范进行一些探讨。本文结合 asp 动态网站开发经验，对asp 程序设计存在的信息安全隐患进行分析，讨论了asp 程序常见的安全漏洞，从程序设计角度对 web信息安全及防范提供了参考。

　　
　　1网络安全总体状况分析
　　2007年1月至6月期间，半年时间内，cncert/cc接收的网络仿冒事件和网页恶意代码事件，已分别超出去年全年总数的14.6%和12.5%。
　　从cncert/cc掌握的半年情况来看，攻击者的攻击目标明确，针对不同网站和用户采用不同的攻击手段，且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式，也不排除放置恶意代码的可能。对中小企业，尤其是以网络为核心业务的企业，采用有组织的分布式拒绝服务攻击(ddos)等手段进行勒索，影响企业正常业务的开展。对于个人用户，攻击者更多的是通过用户身份窃取等手段，偷取该用户游戏账号、银行账号、密码等，窃取用户的私有财产。
　　
　　2 用iis+asp建网站的安全性分析
　　微软推出的iis+asp的解决方案作为一种典型的服务器端网页设计技术，被广泛应用在网上银行、电子商务、网上调查、网上查询、bbs、搜索引擎等各种互联网应用中。但是，该解决方案在为我们带来便捷的同时，也带来了严峻的安全问题。本文从 asp 程序设计角度对 web 信息安全及防范进行分析讨论。
　　
　　3 sp安全漏洞和防范
　　3.1 程序设计与脚本信息泄漏隐患
　　bak 文件。攻击原理：在有些编辑asp程序的工具中，当创建或者修改一个asp文件时，编辑器自动创建一个备份文件，如果你没有删除这个bak文件，攻击者可以直接下载，这样源程序就会被下载。
　　防范技巧：上传程序之前要仔细检查，删除不必要的文档。对以bak为后缀的文件要特别小心。
　　inc文件泄露问题。攻击原理：当存在asp的主页正在制作且没有进行最后调试完成以前，可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找，会得到有关文件的定位，并能在浏览器中查看到数据库地点和结构的细节，并以此揭示完整的源代码。
　　防范技巧：程序员应该在网页发布前对它进行彻底的调试。首先对.inc文件内容进行加密，其次也可以使用.asp文件代替.inc文件，使用户无法从浏览器直接观看文件的源代码。
　　3.2 对asp页面进行加密。为有效地防止asp源代码泄露，可以对asp页面进行加密。我们曾采用两种方法对asp页面进行加密。一是使用组件技术将编程逻辑封装入 dll之中；二是使用微软的script encoder对asp页面进行加密。 　　 3.3 程序设计与验证不全漏洞
　　验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容，但网上有很多攻击软件，如注册机，可以通过浏览web，扫描表单，然后在系统上频繁注册，频繁发送不良信息，造成不良的影响，或者通过软件不断的尝试，盗取你的密码。而我们使用通过使用验证码技术，使客户端输入的信息都必须经过验证，从而可以解决这个问题。
　　登陆验证。对于很多网页，特别是网站后台管理部分，是要求有相应权限的用户才能进入操作的。但是，如果这些页面没有对用户身份进行验证，黑客就可以直接在地址栏输入收集到的相应的 url 路径，避开用户登录验证页面，从而获得合法用户的权限。所以，登陆验证是非常必要的。
　　sql 注入。sql注入是从正常的/">论坛，同学录等网站系统都提供了文件上传功能，但在网页设计时如果缺少对用户提交参数的过滤，将使得攻击者可以上传网页木马等恶意文件，导致攻击事件的发生。
　　防文件上传漏洞
　　在文件上传之前，加入文件类型判断模块，进行过滤，防止asp、asa、cer等类型的文件上传。
　　暴库。暴库，就是通过一些技术手段或者程序漏洞得到数据库的地址，并将数据非法下载到本地。
　　数据库可能被下载。在iis+asp网站中，如果有人通过各种方法获得或者猜到数据库的存储路径和文件名，则该数据库就可以被下载到本地。
　　数据库可能被解密
　　由于access数据库的加密机制比较简单，即使设置了密码，解密也很容易。因此，只要数据库被下载，其信息就没有任何安全性可言了。
　　防止数据库被下载 。由于access数据库加密机制过于简单，有效地防止数据库被下载，就成了提高asp+access解决方案安全性的重中之重。以下两种方法简单、有效。
　　非常规命名法。为access数据库文件起一个复杂的非常规名字，并把它放在几个目录下。
　　使用odbc数据源。在asp程序设计中，如果有条件，应尽量使用odbc数据源，不要把数据库名写在程序中，否则，数据库名将随asp源代码的失密而一同失密。
　　使用密码加密。经过md5加密，再结合生成图片验证码技术，暴力破解的难度会大大增强。
　　使用数据备份。当网站被黑客攻击或者其它原因丢失了数据，可以将备份的数据恢复到原始的数据，保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。
　　3.5 sp木马
　　由于asp它本身是服务器提供的一项服务功能，所以这种asp脚本的木马后门，不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
　　技巧1：杀毒软件查杀
　　一些非常有名的asp木马已经被杀毒软件列入了黑名单，所以利用杀毒软件对web空间中的文件进行扫描，可以有效的发现并清除这些有名的asp木马。
　　技巧2：ftp客户端对比
　　asp木马若进行伪装，加密，躲藏杀毒软件，怎么办？
　　我们可以利用一些ftp客户端软件（例如cuteftp，flashfxp）提供的文件对比功能，通过对比ftp的中的web文件和本地的备份文件，发现是否多出可疑文件。
　　技巧3：用beyond compare 2进行对比
　　渗透性asp木马，可以将代码插入到指定web文件中，平常情况下不会显示，只有使用触发语句才能打开asp木马，其隐蔽性非常高。 beyond compare 2这时候就会作用比较明显了。
　　技巧4：利用组件性能找asp木马
　　如：思易asp木马追捕。
　　大家在查找web空间的asp木马时，最好几种方法结合起来，这样就能有效的查杀被隐藏起来的asp木马。
　　
　　结束语
　　总结了asp木马防范的十大原则供大家参考：
　　建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。
　　对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。
　　asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。
　　到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。
　　要尽量保持程序是最新版本。
　　不要在网页上加注后台管理程序登陆页面的链接。
　　为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过上传即可。
　　要时常备份数据库等重要文件。
　　日常要多维护，并注意空间中是否有来历不明的asp文件。
　　一旦发现被人侵，除非自己能识别出所有木马文件，否则要删除所有文件。重新上传文件前，所有asp程序用户名和密码都要重置，并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。
　　做好以上防范措施，您的网站只能说是相对安全了，决不能因此疏忽大意，因为入侵与反入侵是一场永恒的战争！网站安全是一个较为复杂的问题，严格的说，没有绝对安全的网络系统，我们只有通过不断的改进程序，将各种可能出现的问题考虑周全，对潜在的异常情况进行处理，才能减少被黑客入侵的机会。
　　
　　参考文献
　　[1]袁志芳 田晓芳 李桂宝《asp程序设计与 web信息安全》 中国教育信息化2007年21期.
　　[2] 陈明奇 《2007年上半年网络安全状况分析》信息网络安全2007年第10期
　　[3] 《防范asp木马的十大基本原则》 计算机与网络，2006年第1期