一 前言
microsoft active server pages(asp)是伺服器端指令碼編寫環境,使用它可以建立和執行動態、互動的 web 伺服器應用程式。使用 asp 可以組合 html 頁 、指令碼命令和 activex 元件以建立互動的 web 頁和基於 web 的功能強大的應用程式。
現在很多**特別是電子商務方面的**,在前台上大都用asp來實現。以至於現在asp在**應用上很普遍。
asp是開發**應用的快速工具,但是有些**管理員只看到asp的快速開發能力,卻忽視了asp安全問題。asp從一開始就一直受到眾多漏洞,後門的困擾,包括%81的噩夢,密碼驗證問題,iis漏洞等等都一直使asp**開發人員心驚膽跳。
本文試圖從開放了asp服務的作業系統漏洞和asp程式本身漏洞,闡述asp安全問題,並給出解決方法或者建議。
二 關鍵字
asp,網路安全,iis,ssl,加密。
三 asp工作機理
active server page技術為應用開發商提供了基於指令碼的直觀、快速、高效的應用開發手段,極大地提高了開發的效果。在討論asp的安全性問題之前,讓我們來看看asp是怎麼工作的。asp指令碼是採用明文(plain text)方式來編寫的。
asp指令碼是一系列按特定語法(目前支援vbscript和jscript兩種指令碼語言)編寫的,與標準html頁面混合在一起的指令碼所構成的文字格式的檔案。當客戶端的終端使用者用web瀏覽器通過internet來訪問基於asp指令碼的應用時,web瀏覽器將向web伺服器發出http請求。web伺服器分析、判斷出該請求是asp指令碼的應用後,自動通過isapi介面呼叫asp指令碼的解釋執行引擎(asp.dll)。asp.dll將從檔案系統或內部緩衝區獲取指定的asp指令碼檔案,接著就進行語法分析並解釋執行。最終的處理結果將形成html格式的內容,通過web伺服器「原路」返回給web瀏覽器,由web瀏覽器在客戶端形成最終的結果呈現。這樣就完成了一次完整的asp指令碼呼叫。若干個有機的asp指令碼呼叫就組成了乙個完整的asp指令碼應用。
讓我們來看看執行asp所需的環境:
microsoft internet information server 3.0/4.0/5.0 on nt server
microsoft internet information server 3.0/4.0/5.0 on win2000
microsoft personal web server on windows 95/98
windows nt option pack所帶的microsoft iis提供了強大的功能,但是iis在網路安全方面卻是比較危險的。因為很少有人會用windows 95/98當伺服器,因此本文我更多的從nt中的iis安全問題來**。
五 asp漏洞分析和解決方法
有人說一台不和外面聯絡的電腦是最安全的電腦,乙個關閉所有埠,不提供任何服務的電腦也是最安全的。黑客經常利用我們所開放的埠實施攻擊,這些攻擊最常見的是ddos(拒絕服務攻擊).下面我會列出asp的二十幾個漏洞,每個漏洞都會有漏洞描述和解決方法。
ASP常見的安全漏洞
asp的漏洞已經算很少的了,想要找到資料庫的實際位置也不簡單,但這不表明黑客無孔可入,也正是這個觀點,一般的程式設計員常常忘記仔細的檢查是否有漏洞,所以才有可能導致 資料被竊取的事件發生。今天我在這裡和大家談談asp常見的安全漏洞,以引起大家的重視及採取有效的防範措施。注意,在本文中所介紹的方法請大...
常用的安全漏洞修復建議
通過把 sql命令插入到 web表單提交或輸入網域名稱或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的 sql命令。將 惡意的 sql命令注入到後台資料庫引擎執行的能力,它可以通過在 web表單中輸入 惡意 sql語句得到乙個存在安全漏洞的 上的資料庫,而不是按照設計者意圖去執行 sql語句。導致...
安全 Mysql安全建議。
使用最低許可權賬戶執行服務可減小mysql天生漏洞的影響。受限賬戶將無法訪問與mysql無關的資源,例如作業系統配置。使用非root和非sudo許可權使用者啟動mysql服務 使用此選項,會導致所有客戶端都對所有資料庫具有不受限制的訪問許可權。編輯mysql配置檔案 my.cnf,刪除skip gr...