(B) ASP Programming Security Technology
Asp programming security mainly involves two aspects: First, the safety of Asp source code, and the other is the design of Asp safety procedures. Common security technology are as follows:
1. User name, password mechanism.
User name, password security is a basic technology, often used in the Asp form Form submitted by the user to enter the account number and password, database and user ID match the corresponding fields.
2. Cookie security.
In order to prevent unauthorized users access to the legitimate user's session variables, server SessionID for each assigned a randomly generated number. Whenever the user's Web browser returns a SessionID Cookie, the server out of the figures have been given SessionID, inspection and storage on the server if the generated numbers, and if not then do not allow users to access session variables. At the same time, encryption is important Sessionid Cookie. Once the hackers intercepted user Sessionid Cookie, will be able to impersonate the user to start a conversation activities.
ASP环境下的安全技术分析
摘要 文章从Asp系统的全局出发,从Web服务器端、数据库端、Asp程序设计三个方面对Asp的安全技术进行分析和总结,并指出Asp的安全应以预防为主。
Asp是微软推出的服务器端脚本环境,它把脚本、HTML、ActiveX组件有机地结合在一起,形成动态、交互、高效的Web服务器应用程序。目前,IIS+ASP+SQL(或Access)方案已成为中小型企业构建自己网上信息系统的首选方案。虽然Asp具有快速开发能力,但Asp也存在不容忽视的安全漏洞,这些安全问题是Asp程序开发者和管理者一直努力解决的问题。本文试图从服务器端、数据库端、Asp程序设计三个方面对Asp的安全技术进行分析。
一、2 ASP的安全技术分析
(一) Web服务器端的安全技术
1.目录文件的保护
(1) NTFS权限。
NTFS文件系统提供了比Fat32更为安全的文件管理方式,它通过文件访问控制表(ACL)定义了用户访问文件和目录的权限级别,如果用户具有打开文件的权限,计算机则允许该用户访问文件。通过设定目录和文件的访问权限,禁止无关用户对目录文件进行复制、修改、删除等操作,限制对系统的入侵。
(2) 虚拟目录及其属性设置。
虚拟目录隐藏了有关站点目录结构的重要信息,在Asp环境下,较安全的做法是将Asp脚本和HTML文件分开存放在不同的目录下,将存放HTML文件的目录设为只读属性,将存放Asp脚本的目录设为执行属性。
(3)防止查看Asp文件。
IIS自带的Code.asp或Showcode.asp文件,可以查看Asp程序的源代码,从而窃取相关的信息。可以在Web服务器端删除该文件或者禁止访问存放该文件的目录。
2.限制访问技术
(1)IP地址限制。
IIS能够授权或拒绝特定IP地址对其访问,通过拒绝某特定IP地址的访问,以排除入侵干扰。具体设置:A启动ISM(Internet服务管理器);B启动Web属性页中“高级”选项卡;C进行指定IP地址的控制设置。
(2)用户访问控制。
IIS提供了对站点资源进行匿名访问与验证控制设置,Web服务器根据设置对用户的身份进行验证,阻止未授权用户与受限制内容建立Http连接。具体设置:在Web站点的“目录安全性”属性页中选择“匿名访问和验证控制”进行编辑。匿名访问允许客户端以IUSR-Computername为帐号与Web服务器建立连接(密码随机提供)。对于非匿名访问,有三种验证方式:基本验证,允许用户名及密码以未加密(明文)方式发送;简要验证,仅在域控制器的域中被支持,它通过网络发送经过混编的值(即利用“散列算法”计算的消息摘要)而不是密码进行验证。集成Windows验证,使用安全套接字层(SSL)自动加密用户名和密码。
(3)防火墙技术。
防火墙的目的是为内部网络或主机提供安全保护,阻止对信息资源的非法访问,强制所有连接都必须经过此保护层。防火墙包括包过滤和代理两种,包过滤主要是针对特定IP地址的主机所提供的服务,其基本原理是在网络传输的IP层截获往来和IP包信息,确定是否对此IP包进行转发。代理的基本原理是对Web服务单独构造一个代理程序,不允许客户程序与服务器程序直接交互,必须通过代理程序双方才能进行信息的交互。在实际构建时,通常由过滤器提供第一级的安全防护,再由代理服务器提供更高级的安全防护机制。
3.审核与监视技术。
安全审核负责监视系统中各种与安全有关的事件,生成安全日志,并提供查看安全日志的方法。通过分析安全日志,可以发现并阻止各种危及系统安全的行为。Windows2K默认安装下,安全审核是关闭的。要进行审核,必须先确定审核策略,原文请找腾讯752018766辣,文-论~文^网http://www.751com.cn指定要审核的安全事件的类别。具体的设置:在“管理工具-本地安全策略-本地策略-审核策略”中打开必要的审核。除了安全日志,系统日志和应用程序日志也是很好的监视工具,它们记录了用户自登录开始直到退出的整个操作过程,为网络安全分析提供可靠的依据。 4.SSL安全机制。
SSL (Secure Socket Layer)是一个运行在Http层和TCP层间的安全协议,确保传递信息的安全性。SSL是工作在公共密钥和私有密钥基础上的,任何用户都可以获取公共密钥来加密数据,但解密数据必须要通过相应的私有密钥。目前,SSL已被视为Internet上Web浏览器和服务器的标准安全性措施。由于SSL技术已建立到所有主要的浏览器和Web服务器程序中,因此,仅需安装数字证书或服务器证书就可以激活服务器功能。建立SSL安全机制后,只有SSL允许的客户才能与SSL允许的Web站点进行通信,浏览器连接到使用Https://的地址,而不是URL中的协议