随着科学技术的发展, Web网站技术得到了迅速发展, 摒弃了以往的静态界面, 而能够按照用户的个性化需求提供动态的服务模式。然而, Web网站易遭到黑客的攻击, 安全性能难以保障, 必须采取有效措施加对应对。
一、ASP技术简介
ASP是微软公司研发的、应用于动态Web页设计的一项技术, 通过该技术, 开发人员能够集标记、HTML、脚本命令、文本及ActiveX组件进行混合。它属于Web、数据库两种服务器的中间技术。动态网站的工作原理, 参见
下图:
二、Web服务器的安全措施
(一) 应用系统帐户管理与NTFS文件许可
对操作系统的IIS安全时, 建立的匿名帐号与操作系统的其他帐户, 消除无用帐户, 对帐户进行保密, 通过NTFS系统对目录、文件的访问权限进行设定, 以抵制不良软件的侵袭。
(二) 配置IIS的IP地址限制
IIS具有拒绝/授予相应IP地址对其进行访问的权限。为了确保Web网站的安全, 应当对IP地址限制加以设置:先将站点、文件夹打开, 单击Directory Security页面中的IP Address and Domain Name Restriction的Edit。此外, 还可以授权拒绝所有其他地址的访问。
(三) 源程序代码的屏蔽
对ASP文件源代码进行相应的保密, 让服务器更加安全。
1.*.ASP::$DATA
在浏览器请求的ASP文件名后 (URL后) 添加“::$DATA”, 二次请求, 在“查看源文件”中可见该ASP文件源代码。
2.CODE.ASP
一般IIS例子文档里含有一个CODE.ASP文件。入侵者将其使用格式上传到Web服务器相应目录即可窃取重要文件。对此, 可进行以下操作: (1) 设置虚拟性目录, 对文件目录予以必要的保密措施, 将Web服务器的目录浏览权撤消。 (2) 对ASP文件与HTML文件分别保存到不同的目录。其中, 把含有ASP文件的目录设为“可执行”, 但不可读取;另一个目录设为只可读取。
(四) 应用SSL安全通信
SSL基于IP/TCP以上, 允许安全加密的通信。常与HTTP结合, 在浏览器、Web服务器之间交换信息。对IIS的具体资源, 设置Secure Communications对话框 (在资源的Properties中的Directory Security页面中打开) , 其中的Require Secure Channel选项的时候, 能够对IIS、浏览器间的加密通信进行指示, 让浏览器连至应用http://的地址, 不是URL的协议。
三、ASP程序脚本编程的安全设计
(一) 用户验证、管理方面
通过构建数据库表格帐户的方式, 验证用户信息。在安装IIS时会自动建一个IUSR Computername帐号, 任意的Web访问者均可以进行匿名访问。使用人员在服务器里登录匿名帐号以后, 先进入用户界面, 在ASP文件脚本里对数据库表格进行访问, 确认身份, 然后, 将合法的用户名及口令输入系统, 方可登录。
(二) 应用Session对象
在Web网站, 开发人员会要求所有的访问者在遵守导航规则的条件下访问Web页面, 用户不能省略身份验证环节。这就需要对Session对象加以利用。若访问人员的身份通过, 会对Session对象的Session ID属性以变量加以存储。若访问人员欲导航至一个有效的链接页面, 可对比Session ID与已存ID。如果不相匹配, 要拒绝访问, 并提供有效退出的链接。
(三) 强化页面缓存管理
若浏览器中设置了“网页浏览时先要查本地缓冲页面”, 则对于合法用户, 将可以快速浏览网页。对恶意用户, 会增加“越权浏览”的可能。所以, 如果Web页面很重要, 例如:不能在页面缓存状态下验证身份, 要求每次浏览器向Web服务器请求新的页面。
这样的情况可选择ASP的Response对象、Clear方式解决。作如下设置:Response expires=0 Response Clear, 这里的expires属性表示缓存页面的有效期, 为零表示“已过期”, Clear则表示缓冲区清空。
四、SQL Server数据库的安全访问
一般状况下, 网络系统不会允许任意用户访问数据库。SQL Server以两种方式中的一种论证信息是否安全:NT Authentication与Mixed Mode Authentication。后者可以选择Windows NT/2000的验证方式, 也可以选择SQL Server自带方式。
对于动态Web网站, 访问者习惯于应用SQL Server方式对登录信息验证。这不代表用户可以访问所有系统的数据库。而要满足系统表含一个数据库用户ID的条件。另外, 还能够设置用户数据库的对象权限。
五、结束语
本文对Web网站运行过程中可能存在的风险因素进行分析, 并从Web服务器、ASP应用程序的脚本编程以及SQL Server等方面提供了几条常见的对策, 以期更好地维护网站的安全性。
摘要:当前, 人类进入互联网时代, Web网站的访问与应用成为人们工作、生活及学习的新常态。为了保证网络系统正常运行, 本文阐述了基于ASP技术的Web网站工作原理, 提供相应的安全策略。
关键词:ASP技术,Web网站,安全性
参考文献
[1] 彭建, 黄家林.基于ASP技术的Web网站安全措施分析[J].电脑与信息技术, 2002 (2) :31-33.
[2] 王文霞, 王文莉.基于ASP的Web站点安全研究[J].电脑知识与技术, 2006 (2) :94-95.
[3] 赵争.基于ASP.NET技术的Web应用系统安全机制分析与设计[J].计算机科学, 2008, 35 (2) :104-106.
[4] 张召琪, 巩林立, 张会田, etal.基于ASP技术的Web数据库安全机制分析[J].图书情报导刊, 2006, 16 (12) :214-216.