admin 管理员组文章数量: 1086019
2024年3月6日发(作者:ascii码中文全称)
维普资讯
科技情报开发与经济 文章编号:1005~6033(2006)16—0223—02 SCI—TECH INFORMATION DEVELOPMENT&ECONOMY 2006年第l6卷第l6期 收稿日期:2006—03—24 基于ASP开发的网站的安全性 马 宏 (太原理工大学计算机与软件学院,山西太原,030024) 摘要:分析了基于ASP开发的网站常见的安全问题,提出了解决这些问题的具体措 施。 关键词:ASP;网络安全性;下载漏洞;ASP木马 中图分类号:TP393.08 文献标识码:A ASP(Active Server Pages)是微软公司开发的动态网页技术,由于它 功能强大、简单易学、多组件可扩充性等特点而受到开发者的青睐,基于 ASP开发的网站也越来越多。而网络安全性也成为广大开发者着重考虑 的问题,本文从ASP代码、后台数据库、服务器设置、ASP木马等方面阐 述了ASP安全问题,并给出解决方法或建议。 DBPath 假如被人拿到了源程序,你的Access数据库的名字就一览无余了。 因此建议你在ODBC里设置数据源,再在程序中这样写ICOl'In.open “shujuyuan”。 3 ASP服务器的安全设置 1 SQL注入式攻击 SQL注入式攻击是比较常见的攻击方式,是利用代码中的漏洞,在 服务器上运行Sql命令以及进行其他方式的攻击。由于ASP程序员在编 写程序时不规范,代码存在漏洞,动态生成Sql命令时没有对用户输入 的数据进行验证而受到攻击。黑客会利用特殊查询语句,得到更多的数 支付ASP的服务器操作系统主要有Microsoft公司的NT,Win2000 Server,Win2003 Server等,三者都为Microsoft公司产品,设置大同小异, 现以Win2000 Server为例。 防范技巧: 第一,经常升级操作系统补丁和杀毒软件。 第二,尽量不要安装不安全的组件。如不需要组件也能完成的,最好 不要安装组件;必须需要组件完成的,最好安装知名度高的组件。 第三,更改Inter'net信息服务默认Web站点的主目录,多建虚拟目 录。主目录和虚拟目录不要建在系统盘上。 据表数据,甚至数据表的全部。 比如:查询语句是select from admin where user=“‘&user&”’and pass=‘“&pwd&”’ 那么,如果我的username是:“张三”Or‘I’=l,查询语句将会变成: select★from admin where user=‘张三’or‘I’=‘I’and pass=“‘&pwd&”’。 第四,更改Internet信息服务中网站的日志目录路径。 第五,主目录或虚拟目录中只允许读取和记录访问权限,执行权限 为纯脚本,应用程序保护设置为高。 第六,设置默认Web站点的操作员只有管理员。 这样可以不用密码就通过了你的验证。 防范技巧:上面的代码应改为:select from admin where username= ‘“&user&”’ if not(rs BOF or rs.eof)then if password=rs(“passwd”)then 4 ASP木马 入侵者一般是通过asp程序的上传功能的漏洞进入后台上传ASP 木马程序的。当木马一旦上传上去就有可能取得网站的管理权限,修改 或删除文件、数据库,篡改网站的主页。因此ASP木马的防范显得尤为 重要。 这样只有用户名和密码完全输对才能通过验证。另外,编写代码时 在处理类似留言板、论坛等输入框的ASP程序中,最好屏蔽掉HTML, JavaScript,VBScfipt语句,并且要对输入的字符进行限制,特别是一些特 殊字符,比如单引号、双引号、分号、逗号、冒号、连接号等进行转换或者 过滤,同时也应对输入的字符长度进行限制。而且要在客户端进行输入 合法性检查,同时要在服务器端程序中进行类似检查。 防范技巧: 第一,建议用户通过flp来上传、维护网页,尽量不安装asp的上传 程序。 2 Access数据库下载漏洞 在用Access作后台数据库时,如果有人通过各种方法知道或者猜 到了服务器的Access数据库的路径和数据库名称,那么他也能够下载 第二,对asp上传程序的调用一定要进行身份认证,并只允许信任 的人使用上传程序。 第三,上传文件时,要限制文件的扩展名。比如:上传图片文件时,设 置为只能上传扩展名.jpg或 .gif的文件,拒绝上传扩展名为.asp或 exe 的文件。 这个Access数据库文件,这是非常危险的。 防范技巧: 第一,为你的数据库文件名称起个复杂的非常规的名字,并把它放 在几层目录下。比如dswanf.mdb,把扩展名改为asp或其他,这样黑客要 第四,到正规网站下载asp程序,下载后要对其数据库名称和存放 路径进行修改,数据库文件名称也要有一定复杂性。 第五,日常要多维护,经常查看在文件夹有没有不明的 .asp或 . exe文件,特别是放置上传文件的文件央内,数据库巾有没有陌生的数据 表。一旦发现被入侵,立即删除文件。 第六,要经常备份数据库、网页等重要文件,一旦被木马破坏,能及 时还原,减少损失。 第七,网站的后台也是非常关键的。不要在页面上作后台的地址链 想通过猜的方式得到你的Access数据库文件就难上加难了。 第二,对程序中涉及密码的地方用MD5加密。这样即使是被别人下 载了数据表,他也无法得到你的管理员密码,无法进入你的后台管理。有 关MD5加密的方法,在网上很容易找到。 第三,不要把数据库名写在程序中。有些人喜欢把DSN写在程序 中,比如: DBPath=Server.MapPath(“cmd.mdb”) 接,这样后台地址不容易被猜解。网站后台的管理账号密码不应过于简 单,并且要使用附加码。 223 court.Open“driver={Microsoft Access Driver( .mdb)};dbq ”&
维普资讯
科技情报开发与经济 文章编号:1005—6033(2006)16—0224-02 SCI—TECH INFORMATION DEVELOPMENT&ECONOMY 2006年第16卷第16期 收稿日期:2006—03—17 灾难备份和容灾技术探新 姜传菊 (山东理工大学图书馆,山东淄博,255049) 摘要:简介了灾难备份和恢复的概念,详细陈述了目前的灾难备份和恢复技术及其 代表陛的产品,并对灾难备份技术的发展进行了展望。 关键词:灾难备份;容灾机制;数据安全 中图分类号:TP274 文献标识码:A IT支持系统发生故障、灾难而造成业务中断后,必须在多长时间内予以 恢复,代表系统恢复的能力。恢复点目标RPO(Recoveyr Point Objective) 是指确定数据库信息必须在设定的RTO内恢复到哪个时间点,以确保 业务职能顺利运作,代表丢失的数据量。在进行容灾备份系统规划时,必 须将所有业务应用对应的RTO和RPO进行分析,从而选出所有能满足 RTO和RPO的容灾备份技术,然后再考虑成本,最后选出性价比最好的 技术。 1.3灾难备份和恢复的层次 计算机与网络的发展,推动了整个社会数字化与信息化,绝大多数 企业、机关事业单位甚至个人都离不开网络和数据信息,网络和数据对 一个成功企业来说是至关重要的。但是,由于各种客观原因,人们无法预 测何时、何地会发生何种程度的计算机系统灾难,也不可能完全防止、控 制其发生,使得人们对数据的安全性越来越担忧。高性能的数据备份和 灾难恢复技术能充分保护系统中有价值的信息,保证灾难发生时系统能 正常工作。目前,灾难备份和恢复已成为rr基础架构的一个关键因素, 在计算机和信息安全领域成为一个备受关注的方向。 根据国际标准SHARE78,灾难备份和恢复可以划分为8个层次。 1 灾难备份和恢复技术简介 1,1灾难备份和恢复的基本概念 (1)Tjelo(No off-site data):没有异地数据,数据仅在本地进行备份和 恢复。这种方式是最低成本的灾难恢复解决方案,但事实上并没有具有 真正灾难恢复能力。 灾难备份和恢复是为了降低灾难发生的损失,保证计算机系统连续 运行的重要措施。灾难备份是通过特定的容灾机制,在各种灾难损害发 生后,仍能最大限度地保障提供正常应用服务的信息系统。 容灾备份分为数据备份和应用备份。数据备份是指为保护系统正常 运行,不受各种数据灾难的影响,对数据进行另外的复制并存放在不同 (2)Tierl(PTAM):为卡车运送访问方式。数据在完成写操作的一些 时候,将会被送到远离本地的地方,同时准备有数据恢复的程序。在灾难 发生后,一整套安装在一台末开启的计算机上重新完成,系统和数据可 以被恢复并重新与网络相连。这种灾难恢复方案成本较低,但存在难以 管理的问题,即很难知道什么样的数据在什么佯的地方。 (3)ieTr2(PI'AM+Hot site):Tierl+热备份中心。这种灾难恢复方式依 赖于IYrAM方法,将日常数据放人仓库,当灾难发生的时候,数据再被移 于原来的数据位置,在发生数据丢失时能确保成功恢复数据。数据备份 主要涉及3个技术领域:一是备份硬件,包括系统、适配器、存储技术及 网络;二是存储介质,通常指磁盘;三是备份软件。应用备份是指在灾难 中能够提供不问断的应用服务,址客户的请求能够继续运行,保证信息 系统捉供的服务完整、可靠、一致。数据备份是容灾系统的基础,也是容 灾系统能够正常工作的保障,应用备份则是容灾系统的建设目标,它必 须建立在可靠的数据备份的基础上,通过应用系统、网络系统等各种资 源之间的良好协调来实现。 1.2容灾备份系统的关键指标 在建设容灾系统时需要考虑的最主要指标是恢复时问目标和恢复 到一个热备份巾心。此法虽然增加了成本,但却明显降低了灾难恢复时 间。 (4)Tier3(Electronic Vaulting):为电子链接方式,是在Tier2的基础 上用电子链路取代了卡车进行数据传送。接收方的硬件必须与主中心的 物理地相分离,在灾难发生后,存储的数据用于灾难恢复,由于用电子链 路取代了传输工具,提高了灾难的恢复速度。 (5)Tier4(Active secondary site):具有两个中心同时处于活动状态并 点目标。恢复时间目标RTO(Recovery Time Objective)是指业务所依赖的 管理彼此的备份数据,允许备份在任何一个方向发生。在两个中心之间, [2]陈拥军.ASP的安全漏洞与网络信息安全防护策略研究[J]计算机 5结语 综上所述,只要做好防范措施,基于ASP开发的网站的安全问题就 可解决,但也不能因此而疏忽大意,还应该经常查阅新技术,查看有关安 全方面的资料,关注最新的漏洞和补丁,使网站更加安全。 参考文献 应用研究,2oo4(7):75—77. (实习编辑:李敏) 第一作者简介:马宏,男,1978年l1月生,现为太原理工大学计算 机与软年学院软件工程专业2004级在职硕士研究生,工程师,山西师范 大学语文报社,山西省太原市和平南路45号,030024. [1]张文增.ASP网站安全研究[J].计算机工程研究,2002(3):28—29. The Security of Website based on ASP MA Hong ABSTRACT:This paper analyzes some common security questions of websites based on ASP,and puts forward some concrete measures for solving these questions. KEY WORDS:ASP;network security;download lfaw;ASP Trojan horse 224
版权声明:本文标题:基于ASP开发的网站的安全性 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/b/1709685607a543584.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论