网络安全－用IIS+ASP建网站的安全性分析

[Point=150]
<TABLE style="TABLE-LAYOUT: fixed; WORD-WRAP: break-word" height="100%" cellSpacing=0 cellPadding=0 width="100%" border=0>
3 @" B" s& r% I<TBODY>
<TR>
<TD vAlign=top><SPAN class=bold><SPAN class=smalltxt><b><FONT size=2>网络安全－用IIS+ASP建网站的安全性分析<BR><BR></FONT></b></SPAN></SPAN>隨著Internet的發展，Web技術日新月異，人們已經不再滿足於靜態HTML技術，更多的是要求動態、交互的網路技術。繼通用閘道介面（CGI）之後，微軟推出的IIS+ASP的解決方案作為一種典型的伺服器端網頁設計技術，被廣泛應用在網上銀行、電子商務、網上調查、網上查詢、BBS、搜索引擎等各種互聯網應用中。與此同時，Access資料庫作為微軟推出的以標準JET為引擎的桌面型資料庫系統，由於具有操作簡單、介面友好等特點，具有較大的用戶群體。目前，IIS+ASP+Access是中小型Internet網站的首選方案。但是，該解決方案在為我們帶來便捷的同時，也帶來了嚴峻的安全問題。 <BR>　　一、安全隱患分析 <BR><BR>　　IIS+ASP+Access解決方案的主要安全隱患來自Access資料庫的安全性，其次在於ASP網頁設計過程中的安全意識和措施。 <BR><BR>　　1．資料庫可能被下載 <BR><BR>　　在IIS+ASP+Access網站中，如果有人通過各種方法獲得或者猜到資料庫的存儲路徑和檔案名，則該資料庫就可以被下載到本地。例如：對於網上書店資料庫，一般命名為book.mdb、store.mdb等，存儲路徑一般為“URL/database”或放在根目錄“URL/”下，這樣，任何人敲入地址：“URL/database/store.mdb”， 資料庫就可以被下載了。 <BR>　　2．資料庫可能被解密 <BR><BR>　　由於Access資料庫的加密機制比較簡單，即使設置了密碼，解密也很容易。該資料庫系統通過將用戶輸入的密碼與某一固定密鑰（例如： Access 97為86 FB EC 37 5D 44 9C FA C6 5E 28 E6 13）進行“異或”來形成一個加密串，並將其存儲在*.mdb檔從位址“&amp;H42”開始的區域內。我們可以輕鬆地編制解密程式，一個幾十行的小程式就可以輕鬆地獲得任何Access資料庫的密碼。因此，只要資料庫被下載，其資訊就沒有任何安全性可言了。 <BR><BR>　　3．ASP頁面的安全性 <BR><BR>　　（1）源代碼安全性隱患。由於ASP程式採用非編譯性語言，大大降低了程式源代碼的安全性。如果黑客侵入站點，就可以獲得ASP源代碼；同時對於租用伺服器的用戶，因個別伺服器出租商的職業道德問題，也會造成ASP應用程式源代碼洩露。 <BR><BR>　　（2）程式設計中容易被忽視的安全性問題。ASP代碼使用表單實現交互，而相應的內容會反映在流覽器的位址欄中，如果不採用適當的安全措施，只要記下這些內容，就可以繞過驗證直接進入某一頁面。例如在流覽器中敲入“...page.asp?x=1”，即可不經過表單頁面直接進入滿足“x=1”條件的頁面。因此，在驗證或註冊頁面中，必須採取特殊措施來避免此類問題的產生。 <BR>二、提高IIS+ASP網站安全性的方法 <BR>　　1．防止資料庫被下載 <BR>　　由於Access資料庫加密機制過於簡單，有效地防止資料庫被下載，就成了提高ASP+Access解決方案安全性的重中之重。以下兩種方法簡單、有效。 <BR><BR>　　（1）非常規命名法。為Access資料庫檔起一個複雜的非常規名字，並把它放在幾個目錄下。例如，對於網上書店的資料庫，我們不把它命名為“book.mdb”或“Store.mdb”，而是起個非常規的名字，例如：faq9jl.mdb，再把它放在如./akkt/kj61/acd/av5 的幾層目錄下，這樣黑客想通過猜的方式得到Access資料庫檔案名就很難了。 <BR><BR>　　（2）使用ODBC資料源。在ASP程式設計中，如果有條件，應儘量使用ODBC資料源，不要把資料庫名寫在程式中，否則，資料庫名將隨ASP源代碼的失密而一同失密，例如： <BR><BR>DBPath = Server.MapPath(“./akkt/kj61/acd/av5/faq9jl.mdb ”) <BR><BR>conn.open “driver={Microsoft Access Driver (*.mdb)};dbq=”&amp; DBPath <BR>　　可見，即使資料庫名字起得再怪異，隱藏的目錄再深，ASP源代碼失密後，也很容易被下載下來。如果使用ODBC資料源，就不會存在這樣的問題了： <BR><BR>　　conn.open “ODBC-DSN名” <BR><BR>　　2．對ASP頁面進行加密 <BR><BR>　　為有效地防止ASP源代碼洩露，可以對ASP頁面進行加密。我們曾採用兩種方法對ASP頁面進行加密。一是使用元件技術將編程邏輯封裝入DLL之中；二是使用微軟的Script Encoder對ASP頁面進行加密。使用元件技術存在的主要問題是每段代碼均需元件化，操作比較繁瑣，工作量較大，而使用Encoder對ASP頁面進行加密，操作簡單、收效良好。Script Encoder的運行程式是SCRENC.EXE，使用方法是： <BR><BR>　　SCRENC [/f] [/xl] [/l defLanguage ] [/e defExtension] inputfile outputfile <BR><BR>　　其中：/s 是遮罩螢幕輸出；/f 指定輸出檔是否覆蓋同名輸入檔；/xl 指是否在.asp檔的頂部添加@Language指令；/l defLanguag指定缺省的腳本語言; /e defExtension 指定待加密檔的副檔名。 <BR><BR>　　3．註冊驗證 <BR><BR>　　為防止未經註冊的用戶繞過註冊介面直接進入應用系統，我們採用Session物件進行註冊驗證。例如，我們製作了下面的註冊頁面。 <BR><BR>　　設計要求註冊成功後系統啟動hrmis.asp?page=1頁面。假設，不採用Session物件進行註冊驗證，則用戶在流覽器中敲入“URL/hrmis.asp?page=1”即可繞過註冊介面，直接進入系統。 <BR><BR>　　在此，利用Session物件進行註冊驗證： <BR><BR>＜% <BR><BR>’讀取使用者所輸入的帳號和密碼 <BR><BR>UserID = Request(“UserID”) <BR><BR>Password = Request(“Password”) <BR><BR>’檢查UserID 及Password 是否正確 <BR><BR>If UserID ＜＞“hrmis” Or Password ＜＞“password” Then <BR><BR>Response.Write “帳號錯誤！” <BR><BR>Response.End <BR><BR>End If <BR><BR>’將Session 物件設置為通過驗證狀態 <BR><BR>Session(“Passed”) = True <BR><BR>%＞ <BR><BR>進入應用程式後，首先進行驗證： <BR><BR>＜% <BR><BR>’如果未通過驗證，返回Login狀態 <BR><BR>If Not Session(“Passed”) Then <BR><BR>Response.Redirect “Login.asp” <BR><BR>End If <BR><BR>%＞ <BR>　　通過對IIS+ASP+Access網上應用系統安全性的研究，我們對現有系統進行了改造，收到了較好的效果。<BR></TD></TR></TBODY></TABLE>[/Point]

真难看啊