ASP中伺服器端安全性驗證研究（初級）

黑客攻擊乙個**，最快捷的手段，往往是利用cgi的指令碼漏洞，注入資料庫語句，直接進入**，效果相當好。如果乙個**登入被攻破，裡面的資料將一覽無遺，對存有重要資料的**來說，這將是毀滅性的。

asp已在網上流行了很久，但是安全性仍然很差，現在琴客根椐自已的實踐，談談如何對登陸表單進行安全驗證，很多初學者喜歡用客戶端進行驗證，這對稍懂網頁設計知識的人來說，簡直形同虛設，所以我們要在伺服器端進行驗證，以下方法雖然是針對asp指令碼的，但實際對大多數互動式指令碼都適用的，只是asp最為突出罷了。

1、對填寫格式進行驗證。

要求數字的，就要驗證所填內容是否是數字；電子郵件格式的，就有電子郵件的填寫常規。要求必填項的，要驗證是否為空。這是很基本的安全性驗證，或者說有點安全性的指令碼，但實際上仍然是不安全的。

2、對字元長度進行限制，不能太短，也不能太長。

如果不限字元填寫長度，輕者影響**美觀，重者將會對**造成不可預見的安全隱患，有時會造成系統的崩潰，這有點象溢位攻擊的味道了。如果填寫者填寫非常長的內容，超出伺服器所能處理的長度，這就非常危險了。對於有資料庫支援的**，特別是access小資料庫，超出字段長度，就會返回出錯資訊，而這些出錯資訊，往往暴露出資料庫路徑，黑客就會利用資料庫盜取資料。結果是不可想象的。

利用len函式計算填寫長度，超出預定長度，伺服器停止執行(response.end)，或者只取前面的字元。

3、提交內容中禁用特殊字元，html、dhtml、js、vb指令碼，並防止資料庫注入

因為這些指令碼和字元，往往是asp指令碼可執行的字元，這樣提交表單的同時，伺服器執行提交的文字，非常危險！

在以前一些論壇和聊天室裡，惡作劇者會使用html和js**，讓訪問者電腦上開無數個視窗，導致崩潰！還有可能盜取密碼，執行"混客絕情炸彈"類似的程式，你說可不可怕？呵呵。。。好在這只是客戶端受攻擊，最可怕的還是服務端的安全性。

黑客經常會用特殊字元的漏洞，進入**。乙個典型的例子就是使用[=name" or "name<>123]這種語法騙過伺服器，讓資料庫執行sql語句。

我們要禁止訪客使用以上字元，用去除，替換等方法解決，很多論壇使用ubb**，這是不錯的選擇。

4、限制錯誤登入的次數。這種方法琴客稱之為"蝸牛式保護系統"

這是銀行、電信等部門最慣用的安全防範手法了。由於歷史的原因，這些部門常常用小於6位數的數字做密碼，這在網路時代簡真是太脆弱了，隨便一台電腦，只要很短的時間就能跑完所有密碼。所以他們使用了"蝸牛式保護系統"的方法。只要輸錯3次密碼，卡就不能提款了，只要輸錯3次密碼，手機的sim卡自動鎖住。我們在設計asp互動**時，可以使用這種方式。只要超過限定的次數，相關帳號就不能使用。防止攻擊者使用軟體跑密碼，進入**。

5、使用隨機附加碼驗證

這種方法主要也是防止跑密碼，將密碼驗證多了乙個動態密碼驗證。使用rnd函式生成，並用session驗證，這樣才會安全，不要使用hidden表單。現在這種方法驗證密碼的**越來越多了。

6、限制操作的時間

有時操作者進入**以後，忘了關視窗，這樣就會被其他操作者非法進入系統。使用操作時間限制，可以防止這種情況，時間超時後，**各項服務就終止了。在asp中使用session實現。

7、使用訪問來路驗證

這樣可以防止防問者在自已**或電腦上生成session騙過安全驗證。非正常頁面的請求將不被執行。

8、進行日誌管理，記錄操作者的操作。

記錄操作者的操作，這樣可以隨時修補漏洞。

9、對資料庫、路徑、指令碼加密,禁用不安全元件，修補系統安全漏洞。

這雖然不是提交表單的安全問題，便是與安全漏洞顯然是密不可分的。這種方法很多，不再祥述。

10、防止後退或瀏覽器快取網頁內容。

與第6點類似，防止操作瀏覽的內容被非法操作者通過後退檢視**的內容。可以設定成每次後退重新讀取伺服器。

11、不要在網上鏈結重要內容。

有些搜尋引擎機械人會將重要頁面快取在引擎中，這樣就等於向全世界的訪客敞著大門。不過現在一些引擎類似黑客程式一樣從伺服器"偷取"資訊，這樣防不勝防，由此也出現了防止被搜尋引擎搜到的公司提供這類的服務。

ASP中伺服器端安全性驗證研究（初級）

thinkPHP中伺服器端的驗證

伺服器端資料驗證

關於Ajax伺服器端驗證

ASP中伺服器端安全性驗證研究（初級）

thinkPHP中伺服器端的驗證

伺服器端資料驗證

關於Ajax伺服器端驗證

相關推薦