【導(dǎo)讀】網(wǎng)絡(luò)已經(jīng)影響到社會(huì)的政治、經(jīng)濟(jì)、文化、軍事和社會(huì)生活各個(gè)方面。絡(luò)方式獲取信息和交流已成為現(xiàn)代信息社會(huì)的一個(gè)重要特征。站使用的是ASP，用戶在登錄以及存儲(chǔ)個(gè)人信息時(shí)存在著不少安全隱患，因此，安全模塊，另外針對(duì)ASP網(wǎng)站的一些漏洞提出一些安全輔助性設(shè)計(jì)和安全配置。本文對(duì)上述安全模塊設(shè)計(jì)和安全性輔助設(shè)計(jì)做出了詳細(xì)的說明。

　　

【正文】 ame) PassWord=rs(PassWord) str1=split(rs(s1),) str2=split(rs(s2),) Set ObjUserName = New clsRSA = str1(1) = str1(2) StrUserName = (UserName) Set ObjPassWord = New clsRSA = str2(1) = str2(2) StrPassWord = (PassWord) if UserNameInput=StrUserName and PassWordInput=StrPassWord then () end if loop else (div style=fontsize:12px。color:FF0000。 align=center你無權(quán)查看注入信息 /di) end if end if end if 查看注入日志的代碼和實(shí)現(xiàn)如下： 主要的功能是先看登錄網(wǎng)頁者是否具有權(quán)限 ,然后將數(shù)據(jù)庫中信息解密并且顯示出來，主要代碼如下： % set rs=() sql=SELECT * FROM Register as r,Search as s where = and r.[type]=0 以上代碼是從數(shù)據(jù)庫里查詢非法注入。 sql,conn,1,3 if then div style=fontsize:12px。 align=center暫無非法注入日志！a href= onclick=()返回 /a/div else forsqlinjection() 上一句代碼表示為過濾查詢中的 sql。 % div align=centera href= target=_top onClick=if(!(39。你確認(rèn)退出嗎？ 39。)) return false。重新登錄 /a/div table align=center width=30% style=39。wordbreak:breakall。39。 border=1 bordercolor=99CCFF cellpadding=0 cellspacing=0 tbody trtd align=left valign=middle width=100 colspan=5 height=30b所有的注入信息 /b/td/tr trtd width=30 編號(hào) /tdtd/tdtd width=200 注 入 信 息/tdtd/tdtd width=150注入時(shí)間 /td/tr % countId=1 while not UserName=rs(UserName) PassWord=rs(PassWord) YourTel=rs(YourTel) YourEmail=rs(YourEmail) Your=rs(Your) YourName=rs(YourName) YourContent=rs(YourContent) 以上代碼是讀出數(shù)據(jù)庫中信息。 str1=split(rs(S1),) str2=split(rs(S2),) str3=split(rs(S3),) str4=split(rs(S4),) str5=split(rs(S5),) str6=split(rs(S6),) str7=split(rs(S7),) Set ObjUserName = New clsRSA = str1(1) = str1(2) StrUserName = (UserName) 以上代碼是通過 KEY 取得用戶名（其 他信息讀取原理相同）。 % tr td width=30%=countId%/tdtd/tdtd width=200 %if Your then% 用戶 :%=StrUserName%br 密碼 :%=StrPassWord%br 電話 :%=StrYourTel%br 電子郵件 :%=StrYourEmail%br :%=StrYour%br 公司名稱 :%=StrYourName%br 補(bǔ)充說明 :%=StrYourContent%br %else% 用戶 :%=StrUserName%br 密碼 :%=StrPassWord%br 以上表示要顯示用戶名和密碼。 %end if% /td td/tdtd width=150%=rs(DATEANDTIME)%/td /tr % countId=countId+1 wend % /tbody /table %end if% % set rs=nothing set conn=nothing % /body /html 如有注入信息，其效果如圖 13所示： 圖 13 管理員查看注入日志效果圖 5 現(xiàn)有安全技術(shù)歸納總結(jié) SQL數(shù)據(jù)庫的安全性 SQL Server 是一種比較廣泛使用的數(shù)據(jù)庫，大多數(shù)商務(wù)網(wǎng)站和企業(yè)信息平臺(tái)都是使用此數(shù)據(jù)庫的，因此數(shù)據(jù)庫的安全性也顯的尤為重要。數(shù)據(jù)庫的安全漏洞和不合理的配置會(huì)造成嚴(yán)重的后果，除文中上 述的防 SQL 注入模塊外，還要對(duì)其安全配置做進(jìn)一步探討。 SQL 相對(duì)來說比較安全。但是也要小心地配置 SQL ： 安裝數(shù)據(jù)庫管理中存在的風(fēng)險(xiǎn) SQL 數(shù)據(jù)庫支持從遠(yuǎn)程進(jìn)行數(shù)據(jù)庫的維護(hù)。在安裝時(shí)可以選擇不安裝，安裝完成以后，還可以通過“ SQL Server Network Utility”來刪除遠(yuǎn)程管理。如果要使用遠(yuǎn)程管理，可以使用 TCP/IP，并將缺省的端口 1433 改變?yōu)槠渌臄?shù)值。使用遠(yuǎn)程對(duì)于用戶來說可能比較方便，但要注意一個(gè)黑客只要知道你的 SQL server 密碼，就可以直接進(jìn)入你的數(shù)據(jù)庫。 通過 改變 sa密碼體現(xiàn)安全性能 在缺省安裝時(shí)， SQL 的 sa 賬號(hào)的密碼為空，建議用戶在在 Enterprise SERVER 中改變 sa 的密碼以達(dá)到密碼的安全性。數(shù)據(jù)庫登錄的賬號(hào)不要寫入 ASP頁面中，以免受到泄露。 IIS的安全配置 做網(wǎng)站的同學(xué)可能深有體會(huì)， IIS 經(jīng)常會(huì)遇到一些麻煩，所以配置安全的 IIS是尤為重要的 : 在 C 盤的下面有個(gè) Ipub 目錄，最好將其刪除，然后在其它盤下建立一個(gè) Ipub 目錄，在 IIS 管理中將主目錄指向 X： \Ipub(X 代表盤符 )； 把 IIS 安裝時(shí)默認(rèn)的 scripts 等虛擬目錄也全都刪除掉，如果用戶需要其他的什么權(quán)限可以以后再重新建立； 關(guān)于應(yīng)用程序的配置：在 IIS 管理中把沒有用處的映射一概刪除。在 IIS管理器中單擊右鍵“默認(rèn) WEB 站點(diǎn)”，然后單擊“屬性”→“主目錄”→“配置”→“應(yīng)用程序映射”，最后刪除掉這些映射。 有一個(gè)應(yīng)用程序調(diào)試窗口，在這個(gè)窗口內(nèi)，當(dāng)腳本錯(cuò)誤消息發(fā)出“發(fā)送文本錯(cuò)誤消息給客戶”后單擊“確定”，退出時(shí)讓虛擬站點(diǎn)繼承剛才設(shè)定好的屬性。 使用 IIS 的備份功能，把剛才設(shè)置好的全部都備份一下，達(dá)到了可以隨時(shí)都可以恢復(fù) IIS 安全配置的目的。此外 IIS 超負(fù)荷很有可能導(dǎo)致服務(wù)器癱瘓，此時(shí)可以在性能中打開 CPU 限制選項(xiàng)，將 IIS 的最大 CPU 使用率限制在 70%80%，達(dá)到了預(yù)防的目的。 關(guān)閉沒有用的服務(wù)和協(xié)議 如今上網(wǎng)的用戶如果沒有注意會(huì)在使用網(wǎng)絡(luò)資源時(shí)候開啟大量沒有用的服務(wù)，因此盡量少開沒用到的服務(wù)是網(wǎng)絡(luò)安全的一大準(zhǔn)則。譬如開啟了某個(gè)服務(wù)，就要面對(duì)不少的漏洞困擾，更重要的是你還要時(shí)時(shí)提防未來的由這個(gè)服務(wù)所引起的漏洞。比如，如果不需要使用 ftp,就直接把它關(guān)了，這樣就不會(huì)浪費(fèi)精力甚至金錢去應(yīng)付那些緩沖區(qū)溢出之類的漏洞。如果你的 IIS 安裝了 index server 服務(wù)，那就得至少要面對(duì)三個(gè)以上的有關(guān)這個(gè)服務(wù)的漏洞，因此如果你沒用到index server 服務(wù)，也可以去刪除它 . 一個(gè)道理，我們要安裝盡量最少的協(xié)議。還有就是千萬不要安裝點(diǎn)對(duì)點(diǎn)通道通訊協(xié)議。此外，還必須小心地配置 TCP/IP協(xié)議。在 TCP/IP 的屬性頁中選擇“ IP 地址”項(xiàng)目，然后選擇“高級(jí)”。在彈出來的對(duì)話框中選擇“安全機(jī)制”，這樣你可以禁止 UDP，然后開啟 IP 端口 6 和TCP 端口 80。 ASP編程安全 網(wǎng)絡(luò)安全的話題已成為當(dāng)今流行的一種趨勢(shì)，因此安全職責(zé)不僅是網(wǎng)絡(luò)管理員的職責(zé)，更是編程人員 的一種職責(zé)，所以必須養(yǎng)成良好的編程習(xí)慣，否則，會(huì)給不法分子造成可乘之機(jī)。目前，大多數(shù)網(wǎng)站上的 ASP程序有各種安全漏洞，但如果書寫程度時(shí)多加注意的話，有些漏洞是可以避免的。 關(guān)于用戶名與口令的程序應(yīng)該封裝在服務(wù)器端，不要在 ASP文件里出現(xiàn)，涉及到與數(shù)據(jù)庫連接的用戶名和口令可問題應(yīng)給予較小強(qiáng)度的權(quán)限。用戶名和口令是黑客們比較關(guān)注的東西，如果能通過某種方式看到源代碼，那后果將不堪設(shè)想， 因此要盡量減少他們?cè)?ASP 文件中的出現(xiàn)頻率。我們可以把出現(xiàn)次數(shù)比較多的用戶名和口令可以寫在一個(gè)比較隱蔽的包含文件中。如果涉及到與數(shù) 據(jù)庫連接的問題，要只給予執(zhí)行存儲(chǔ)過程的權(quán)限，不要直接給予該用戶以修改、插入、刪除記錄的權(quán)限，要不會(huì)很容易出現(xiàn)漏洞。 大多數(shù)的 ASP 頁面需要進(jìn)行驗(yàn)證，這個(gè)時(shí)候可以跟蹤上一個(gè)頁面的文件名，只有從上一個(gè)頁面轉(zhuǎn)進(jìn)來的會(huì)話才能讀取這個(gè)頁面?，F(xiàn)在大多數(shù)要經(jīng)過驗(yàn)證的ASP 程序都是在頁面頭上加一個(gè)判斷語句，但還是有可能被黑客繞過驗(yàn)證直接進(jìn)入，因此有必要跟蹤上一個(gè)頁面。 還有就是在 ASP 的主頁正在制作期間并沒有進(jìn)行最后調(diào)試完成以前，可以被某些搜索引擎追加為搜索的對(duì)象，如果此時(shí)有人要搜索這個(gè)網(wǎng)頁進(jìn)行攻擊，就會(huì)得到有關(guān)文件的定位 ，并在瀏覽器中可查看到數(shù)據(jù)庫地點(diǎn)和結(jié)構(gòu)上的一些細(xì)節(jié)問題以至于看到完整的源代碼。因此，程序員需在該網(wǎng)頁發(fā)布前對(duì)其進(jìn)行徹底的調(diào)試，以達(dá)到 ASP 編程安全的目的。 ASP服務(wù)器的安全設(shè)置 目前支付 ASP 服務(wù)器的操作系統(tǒng)主要有微軟公司的 Windows2020 和Windows2020，現(xiàn)在以 Windows2020 為示例講解下幾點(diǎn)防范技巧 : 要定時(shí)升級(jí)殺毒軟件和操作系統(tǒng)補(bǔ)?。? 不要安裝不安全的組件，如果不需要組件的同時(shí)也能完成的，最好不要安裝組件 。必須需要組件完成的，最好安裝安全性比較高的組件； 更改一下 Inter 信息服務(wù)上網(wǎng)站的日志目錄路徑； 更改一下 Inter 信息服務(wù)默認(rèn) Web 站點(diǎn)的主目錄，建一些虛擬目錄，當(dāng)然主目錄和虛擬目錄也不要建在系統(tǒng)盤上； 主目錄或虛擬目錄中只允許讀取和記錄訪問權(quán)限，執(zhí)行權(quán)限為純腳本，應(yīng)用程序保護(hù)設(shè)置為高。 ASP木馬 在 ASP 受到攻擊時(shí)，入侵者一般是通過 ASP 程序的上傳功能的漏洞進(jìn)入后臺(tái)上傳 ASP 木馬程序的。當(dāng)木馬一旦上傳上去就有很有可能取得網(wǎng)站的管理權(quán)限，此時(shí)很可能會(huì)去修改或刪除文件、數(shù)據(jù)庫等或篡改網(wǎng)站的主頁，因此 ASP木馬的防范說起來也非常的重要。 ASP 木馬的防范技巧有很多，但大致有以下六種 : 上傳的時(shí)候用戶需通過 ftp 來上傳來維護(hù)網(wǎng)頁，盡量不安裝 asp 的上傳程序； 用戶在上傳文件時(shí)，需限制文件的擴(kuò)展名。例如，上傳文件格式為圖片的時(shí)候，設(shè)置為只能上傳擴(kuò)展名 *.jpg 或 *.gif 的文件，拒絕上傳為 .asp 或 .exe等擴(kuò)展名的文件； 上傳時(shí)對(duì) asp 上傳程序的調(diào)用要進(jìn)行嚴(yán)格的身份認(rèn)證，而且只允許能信任的人使用上傳程序； 下載時(shí)候要到正規(guī)網(wǎng)站下載 asp 程序，下載后要對(duì)其數(shù)據(jù)庫名稱和存放路徑進(jìn)行修改，數(shù)據(jù)庫文件名稱也要有一定復(fù)雜性； 維護(hù)是一個(gè)很 現(xiàn)實(shí)的問題，平時(shí)要多進(jìn)行維護(hù)，經(jīng)常查看在文件夾里有沒有一些關(guān)于 *.asp 或 *.exe 文件，特別是在放置上傳文件的文件夾內(nèi)，還有就是要查看數(shù)據(jù)庫中有沒有陌生的數(shù)據(jù)表。一旦發(fā)現(xiàn)被入侵和攻擊，立即刪除此文件，還有就是要經(jīng)常備份數(shù)據(jù)庫、網(wǎng)頁等重要文件，一旦發(fā)現(xiàn)被木馬破壞，還能及時(shí)還原，以達(dá)到減少損失的目的； 不光是網(wǎng)站前臺(tái)，網(wǎng)站的后臺(tái)也顯的尤為重要。最主要的就是不要在頁面上作后臺(tái)的地址鏈接，因?yàn)檫@樣后臺(tái)地址不容易被破解。網(wǎng)站后臺(tái)的管理賬號(hào)密碼也不應(yīng)過于簡(jiǎn)單，可以經(jīng)常更換，并且最好使用附加碼，這樣，網(wǎng)站的安全性就 大大增加了。 防止暴力破解 暴力破解是一種比較強(qiáng)制的手段，也是黑客比較常用的攻擊手段，他們利用某種程序使用窮舉法對(duì)其進(jìn)行攻擊。此時(shí)，對(duì)于缺乏相應(yīng)安全措施的網(wǎng)站，他們常常會(huì)得之應(yīng)手。防止此類攻擊的方法是 : 使用強(qiáng)壯密碼，也就是設(shè)置比較復(fù)雜的密碼；定期更改密碼并通知用戶；限制錯(cuò)誤輸入次數(shù)，超過錯(cuò)誤次數(shù)會(huì)自動(dòng)終止；采用密鑰加密、解密；使用附加密碼防止程序的