浅谈ASP网站的安全管理
- 格式:doc
- 大小:23.50 KB
- 文档页数:3
浅谈ASP网站的安全管理
摘要:目前,采用ASP技术设计的网站较为常见,其面临的安全形式日益严峻。
针对常见问题分析,提出安全管理方法。
关键词:ASP;安全;管理
ASP(active server pages)意为“动态服务器页面”,是微软公司开发的代替CGI脚本程序的一种应用,它可以与数据库和其它程序进行交互,是一种简单、方便的编程工具,现在常用于各种动态网站中。
因其使用的普遍性、广泛性及源代码的开放性,使得ASP广泛应用的同时也面临着一系列的安全问题,本文就ASP网站的安全进行了讨论,并提出了相应的安全管理方法。
1ASP网站安全分析
1.1网站面临的安全威胁
Web 应用程序面临的安全威胁,客观上是开发语言自身的弱点,主观上是人为因素造成的。
威胁包括:模板扫描、非法浏览、字段隐藏、调试选项与后门程序、参数篡改、执行隐蔽指令、不正确配置、应用层拒绝服务分析、拒绝正常服务、非法访问、恶意代码执行、跨站脚本、SQL注入、病毒、蠕虫和特洛伊木马等。
1.2ASP网站存在的安全隐患
Windows操作系统漏洞、网络中各种病毒和木马程序、网站开发水平及网管人员的技术保障水平等都对网站正常运行、信息安全造成一定的影响,存在的安全隐患有:一是操作系统如windows、数据库系统软件如access、sqlserver等本身存在一定的安全漏洞。
二是网站开发过程中,开发人员利用网络上的免费代码、现成模板设计网站,而黑客针对较为传统、流传广泛的代码专门编写了破解程序,也就是通过所谓的“后门”能轻而易举的获取网站管理权限。
三是后台管理疏松。
用常规的用户名administrator、密码没有用大小写字母加数字加特殊字符的组合,没有定期更换密码,管理后台的终端机本身带有病毒等。
2ASP网站的安全管理及措施
对于网站制作者来讲,设计开发的网站较多,技术手段必须及时更新,要把安全放在第一位。
2.1网站设计的基本安全原则
网站设计必须遵循一般应用程序设计的基本安全原则:采用节节防御,在程序设计中的每一层和每个子模板中设置检查点;对与任何一个URL请求,应用程序应该彻底验证所有请求;网站连接数据库时,禁止默认的用户,应用一个具有最低权限的数据库用户;禁止用户上传以ASP为后缀的文件,禁止上传可执行文件;禁止用户尝试多次登录,设置在一定时间内用户登录达到一定次数时,将该用户锁死;采用最少权限的原则。
2.2网站安全测试
2.2.1代码安全测试
非编译性语言的源代码是公开的,也可以通过非法的URL请求直接进入系统管理员页面。
所以源代码必须进行安全测试,测试内容包括:检查是否含有公开代码及通用模板;检查网站运行的可靠性;检查是否对重要的ASP 页面进行加密;检查是否含有已知漏洞或非法代码等。
2.2.2数据库安全测试
如果程序员把数据库文件名直接写在程序中,当源代码被下载,得知了数据库文件名,根据数据库存储的常规路径在浏览器中输入“URL/盘符/目录/数据库文件名”,进而将数据库下载。
对数据库的主要测试内容:检查数据库的使用方式。
使用ODBC数据源。
不要直接把数据库名写在程序中,而是通过设置ODBC数据源的方式访问数据库。
数据库文件检查。
检查数据库文件在命名时是否采用非常规的命名方法,要给数据库起一个长长的名字,并且将数据库后缀名改掉,放在多层的目录下面。
2.2.3整站文件、数据库备份及网站应急处理措施
为了应对突发事件,保证网站正常运行及数据的安全,需制定相应的网站应急处理措施和数据备份策略。
①制定科学合理的数据备份策略,如定期进行整站文件备份、不定期进行数据库备份;采取光盘、硬盘不同存储介质备份;条件允许的可以采取双机热备、异地存储等方式。
②制定网站应急处理措施,当网站运行出现问题时能够快速有效的恢复网站的正常运行。
3结束语
面对当前日益严峻的网络安全形势,网站安全管理必须从多角度、多方面入手采取行之有效的技术手段和安全措施。
每一种编程语言都没有完美性,只能加以防范,避免风险,没有绝对的安全,只有相对的完善。