◆赵兵兵
基于ASP技术开发的网站安全防护措施
◆赵兵兵
(中国科学技术馆 北京 100012)
随着计算机技术的不断创新与发展,我国用于网页开发设计的软件与工具越来越多,其中ASP便是服务器端网页设计技术中的一种,这项技术能有效地将脚本、超文本和庞大的数据库进行关联,并融合了强大的访问功能,这项技术的优异性在于其将高效、简单、易扩展等多种性质结合在一起。因此,在互联网中,我们能找到许多以此为基础的免费源码,部分企业甚至直接将其下载,并以此为基础建立自己的网站,但这一做法存在许多网站安全防护的问题。
ASP;网站安全;安全漏洞;防范策略
随着互联网技术的不断发展,为了更好地发挥互联网这个世界最大交流平台的作用,越来越多的企业单位都相应的加大了网站建设的投入力度。而在众多Web数据库的访问技术汇总,ASP技术因其开发周期短、数据存储方面、易操作、效率高等性质脱颖而出,被广大程序员所喜爱。
在编写ASP脚本时,最常用的脚本编写语言有VBScript,JavaScript以及JScript这三种脚本语言,并结合HTML页面脚本,从而构成ASP脚本文件。当人们想对ASP文件进行访问时,会通过Web浏览器,向Web服务器发出请求,在Web服务器针对访问请求的ASP文件进行判断后,在进行调用,并根据相应的语法分析以及解释执行,转化为标准的HTML格式内容,最后才会呈现在用户的Web浏览器中。这便是ASP执行的全过程,而这一过程的优异性主要分为以下几点。
ASP相比于其它客户端执行的JavaScript等类型程序,其在网络安全防护中有着极为突出的优势,客户端无法观看ASP源程序,所接受到的数据信息只是通过程序转化后的HTML语言,这一处理方式不仅有效地维护了ASP开发人员的自身利益,同时还对网站的安全防护起到了重要作用。
虚拟目录的建立是为了隐藏个网站点的目录结构,以防因站点目录结构暴露而遭受网络攻击的问题发生,因此虚拟目录的建立是网站安全防护中重要的存在。另外,网站的源代码在无需经过任何修饰、更改的情况下,便能直接在另一台服务器中运行,并且管理员可以通过对虚拟目录中的设置来更改相应的权限,从而提升ASP程序的运行效率与安全性。
虽然以ASP技术为基础开发的网站具有很多的优势,但这类网站在运行的过程中仍然存在许多的安全隐患,而造成安全隐患的因素有很多,如网站设计人员水平的限制、系统软件中存在的漏洞、计算机中的病毒以及网站维护人员的技术水平和责任意识等,这些因素都是影响网站正常运行的重要因素,并为网站中信息的安全性造成巨大的隐患,为此笔者就其中最为主要的几个方面进行阐述:
网站设计人员由于自身技术水平等因素的限制,直接利用网上免费的源代码和免费程序,甚至部分网站设计人员直接将自己设计的ASP网站中的数据库途径以及大量的用户名、密码公开在程序中,这种设计漏洞为攻击者提供了有效破解密码、进入数据库等入侵方式,这给网站的安全运行带来巨大的安全隐患。
我国较为常用的计算机操作系统为Windows操作系统,网站所采用的数据库系统也主要为Access、SQL SERVER,但这些操作系统和系统软件都存在相应的安全漏洞,并在管理上存在一定的缺陷,如注册表、特殊系统命令、用户权限口令等计算机安全设置,一旦存在设置错误、不当等问题,便会给网站的安全运行造成极大的影响。
网站的后台管理用户由于自身不良的上网习惯以及责任意识等因素,都多网站的安全运行造成极大的影响。例如后台管理用户所设置的用户名与密码过于简单,且长期使用不更改,从而被其他人破解使用。
网站设计人员在对ASP主页进行设计制作的过程中,在没进行最后的调试之前,其它人便可以通过某些特定的搜索引擎对此ASP网页进行搜索,这样便能对ASP网页中的相关文件进行定位,并通过相应的浏览器对相关的数据库进行查看,然后获取ASP网页的源代码。因此,为了避免源程序泄露问题的发生,网站设计人员应在网页的发布前完成调试,然后再针对ASP相关文件进行加固处理,以防止其他人直接观看文件的源代码。
目前,绝大部分ASP程序的验证仅靠页面头部所添加的判断句,但这种简单的处理方式对于黑客来说,能很容易绕过。因此,为了防止验证被绕过问题,应在ASP页面上添加上一个页面的文件名,因此,只有访问过上一个页面的用户才能浏览这一页面的信息,从而杜绝了验证被绕过问题的发生。
在诸多攻击网站获取网站源代码的方式中,用户名与口令的破解往往是黑客最为喜欢的方式,而一旦被他们获取了源代码,便会造成严重的影响。为此,网站设计人员应将涉及用户名与口令的程序全部封存进服务器端中,同时限制可以连接数据库的用户名与口令的权利。另外,任何与数据库可以进行直接连接的用户名与口令,应限制其修改、插入以及删除记录等权限,所能保留的权利仅能为执行与储存。
防火墙作为网站安全防护中重要的防护屏障,其能有效地监控自身网站与外网间传递的数据包,并包含管理网络中最为有效的措施,如网络访问的控制。防火墙会针对陌生且具有危险可能性的信息及时地对用户发出警告,从而对病毒、木马程序以及非法信息数据起到良好的拦截与限制作用,并能针对网站中各种进出数据进行监控。防火墙作为网站中最为关键的存在,不仅能对网站的安全运行起到关键作用,同时还能具有身份验证等实用功能。另外,防火墙还能根据管理者自身的要求,针对信息数据进行筛选,从而起到有效拦截的作用。
随着计算机技术的不断发展,越来越多的病毒出现在网络中,为了针对病毒日益猖獗这一问题,不仅要对网站服务器安装相应的防火墙,同时还要安装相应的杀毒软件来控制病毒的传播与蔓延。但在使用杀毒软件的同时,还需要注意以下几点问题:定期对杀毒软件进行更新升级;定期对服务器系统更新下载系统补丁;关闭不必要的程序与服务,降低系统资源的占用率。
为了确保服务器的正常运行,除了设置虚拟目录、限制上传目录的执行权,还可以根据自身要求对ASP网站的硬件服务器进行相应的安全配置。目前,我国绝大部分的服务器操作系统都为windows2003,以此为例,可以将服务器的磁盘转化为NTFS格式,然后就系统管理员进行改名,并设置安全性较高的密码。另外,还可以额外创建权限低的系统管理员账号,这样便能有效地提升服务器的安全性,增加黑客入侵系统的难度。
系统的安全管理最为网站安全防护措施中的重要组成,其本质便是对风险进行控制。网站安全管理人员首先要就网站所面临的潜在风险进行全面的了解,并就此进行分析,然后再根据得出的结构制定相应的安全防护措施。为了确保安全防护措施的有效性,应每年最少进行一次应急演练,从而保持一个高效的安全管理效率。另外,就网站运行过程中存在的安全风险以及可以发生的安全问题,进行不间断的检测是必要的。为此,建立一个远程监控平台,就网站的日常运行进行全天候不间断的监控,一旦检测出安全问题,便会向管理人员发出警报,并能针对过往数据进行分析,为管理人员实施安全防护措施提供有效的参考意见。
随着互联网技术的高速发展,互联网这个世界交流平台的重要性逐渐被人们所认知,绝大部分企业单位都加大了网站建设的投入力度,因此网站的安全防护措施的研究已成为当下网络程序开发领域中重要组成。而基于ASP的网站,由于其自身的缺陷,其安全问题更应得到及时的解决与处理,为我国网站安全的发展提供一个健康稳定的环境。
[1]党伟.基于ASP技术开发的网站安全防护探讨[J].信息系统工程,2016.
[2]许皓月.基于ASP技术开发的网站安全防护分析[J].农业图书情报学刊,2009.
[3]赵咏虹,黄慧武,陈世坤.基于ASP技术开发的网站安全问题[J].电脑知识与技术,2005.