ASP网站安全

ASP网站安全（通用12篇）

ASP网站安全 篇1

一、网站的建立

根据单位或个人的实际需求, 可采用服务器租用 (空间租用) 、服务器托管及自备服务器等方式。其中空间租用是指租用IDC服务商的服务器空间来建立网站;服务器托管是指自己准备服务器, 但将此服务器交由IDC服务商来管理;所谓自备服务器是指自己准备服务器并完全自主管理及应用。其中, 后两者的机器均是自己准备的;而前两者所使用的互联网线路均不用自己考虑。

网站的硬件安全主要指的就是服务器本身的安全, 即实体安全。计算机实体安全是指为了保证计算机信息系统安全可靠运行, 确保在对信息进行采集、处理、传输和存储过程中, 不致受到人为或自然因素的危害, 而使信息丢失、泄密或破坏, 对计算机设备、设施 (包括机房建筑、供电、空调等) 、环境、人员等采取适当的安全措施。是防止对信息威胁和攻击的第一步, 也是防止对信息威胁和攻击的天然屏障, 是基础。主要包括以下内容:

(一) 环境安全

主要是对计算机信息系统所在环境的区域保护和灾难保护, 要求计算机场地要有防火、防水、防盗措施和设施, 有拦截、屏蔽、均压分流、接地防雷等设施;有防静电、防尘设备、温度、湿度和洁净度在一定的控制范围等等。

(二) 设备安全

主要是对计算机信息系统设备的安全保护, 包括设备的防毁、防盗、防止电磁信号辐射泄漏、防止线路截获;对UPS、存储器和外部设备的保护等。除此之外, 人员因素也非常重要。试想, 如果各方面做得都像铜墙铁壁, 但对“门”的管理却不严, 会有什么后果?

二、ASP网站的安全配置

ASP网站的实现基本采用Window s 2003 Se rve r+Inte rne t Inform ation Se rvice s (IIS) 。众所周知, 微软的东西以补丁著称, 所以, 对于Windows2003Server, 及时地打好补丁是必须的、是第一位的。

其次, 系统的杀毒软件及防火墙也是重要的一个方面。杀毒软件必须及时更新并经常查杀;而防火墙也有硬件防火墙和软件防火墙之分, 如条件许可, 最好采用优质的硬件防火墙。Windows2003Server和以前的版本相比, 已经作了很大改进, 所以对用户来讲, 只要开通必要的服务即可。这样就可以避免98%以上的蠕虫和变种病毒的入侵。

在这里, 跟网络的拓朴结构也有很大关系, 即WEB服务器放在何处?如果将服务器放在内网, 通过防火墙作IP地址及端口映射, 那肯定比直接将WEB服务器放在外网要好得多。

在IIS的安全方面, 在访问权限上, 一般来说不要把“脚本资源访问”、“写入”、“目录浏览”等选中;在执行权限上, 也只要选择“纯脚本”足矣。不要让IIS目录有执行程序的权限, 因为绝大多数的网站不需要这个。对用户上传的文件, 放在一个固定的目录下, 并设置这个目录不允许执行任何脚本。将网站文件夹放到一个专用的NTFS分区上, 并要设置相应的安全的NTFS权限。NTFS驱动器一般禁止使用“EVERYONE/完全控制”权限。作为网站管理者, 可以经常在服务器的命令行状态下运行“netstat-an”来观察有多少IP地址正尝试和你的端口建立连接, 从而尽早地发现一些可能存在的问题。

三、ASP的程序

(一) Active Server Pagers的工作流程

1) 用户在浏览器的地址栏中填上要访问的主页地址并回车触发这个申请。2) 浏览器将申请发送到IIS的Web Server上, Web Server接收这些申请并根据.asp的后缀名意识到这是一个Active Server Page rs要求。3) We b Se rve r从硬盘或内存中接收正确的ASP文件, 然后将文件发送到一个特定的名为Asp.DLL的文件中。4) ASP文件将被从头到底地执行并根据命令要求生成响应的静态页面。5) 静态页面将被送回浏览器, 被浏览器解释执行并显示在用户的浏览器上。

(二) Session和Cookies

Se s s ion主要用途是保存信息, 访问者从到达某一个特定主页到离开为止的那段时间, 每一个访问者都会单独获得一个Session。浏览器用一个或多个限定的文件支持Cookies, 它们被用来存储Cookies用户数据。WEB服务器可以用Session和Cookies配置带有用户特定会话信息的ASP应用程序。所以, 我们应当在ASP程序中注意保护Se s s ion和Cookie s, 因为截获了Se s s ion和Cookie s的计算机黑客可以使用此Cookies假冒用户。

(三) 保护数据库

在ASP程序中经常用到的数据库有ACCESS和MSSQL等。数据库不一样, 只是数据库的连接方式及数据库的字段类型等信息不太一样, 而数据库的访问基本没有多大差别, 可以说能够用几乎同样的数据库操纵语句来访问不同的数据库。而数据库内容几乎就是一个网站的“精髓”, 所以保护数据库显示额外重要。对于ACCESS这样的小型数据库, 主要是要防止数据库被下载;而对于MS SQL、ORACLE等这些大型数据库, 主要要防止连接数据库的用户名和密码泄露;而不管是哪种数据库, 都会面临同样的问题, 那就是黑客利用ASP程序中的漏洞修改数据库的内容。最典型的就是“SQL注入”。

SQL注入的原理, 就是从客户端提交特殊的代码, 从而收集程序及服务器的信息, 从而获取你想到得到的资料。SQL注入是从正常的WWW端口访问, 而且表面看起来跟一般的We b页面访问没什么区别, 所以目前市面的防火墙都不会对SQL注入发出警报, 如果管理员没查看IIS日志的习惯, 可能被入侵很长时间都不会发觉。

从分析SQL注入的原因或者了解SQL注入的过程, 程序员就可以明确以下几点:首先, 在程序中要对从URL中的后缀 (指asp文件名后面的参数) 进行检测并作一定的处理。其次, 在IIS设置中, 在“应用程序配置/调试/脚本错误信息”中选择“向客户端发送文本错误消息”。也就是不要让服务器端的错误信息发到客户端。这里还要注意的是如果采用了一些下载的ASP源代码, 那一定要注意数据库的保护, 因为在这些源代码里面, 数据库信息是公开的秘密。

四、结束语

系统架设时的不小心, 程序编写时的不注意, 往往就是可能导致泄密的主因。为了减少这种安全漏洞的威胁, 程序员要确定你的网页服务器没有任何会泄漏珍贵信息的程序或操作系统漏洞, 只安装你需要的东西, 并且定期对服务器进行检查并加装补丁, 到网上了解最新的系统安全消息和知识。

摘要：ASP是常用的网页开发技术, 它简单而实用, 但开发一个ASP网站并使之能够真正付诸使用, 却不得不将它的安全问题提到第一位。

关键词：安全,ASP,IIS,数据库

参考文献

[1]石志国编著.ASP动态网站编程[M].清华大学出版社, 2001.

[2]http://zhidao.baidu.com/question/18093167.html.

ASP网站安全 篇2

论坛：DVBBS

动网论坛曾经是国内很流行的论坛，不过后来逐步衰落，在大用户量访问下，其性能不如Discuz和PHPWind。

博客平台：Z-BLOG

Z-Blog是一套基于ASP平台的开放、高效、健壮、实用的Blog发布程序，可以生成静态文件、高度可制定化模板、WAP访问、支持第三方编辑器、可定义静态文件名称、统一权限控制、站内全文搜索等功能。

博客平台：PJBlog

PJBlog是另一个ASP博客系统，主要功能包括有：支持静态化文件，文章编辑器兼容两种编辑方式，支持自定义面板和CSS，，自定义模块，可以修改页面上的的布局，可以更换CSS样式界面等，

多用户博客：Oblog

oBlog多用户博客程序是目前国内应用较广的ASP博客程序，可用于BSP服务，分免费版和商业版等不同版本，可实现日志的HTML静态化。

CMS：KingCMS

KingCMS是一套简单易学，操作简单的开源内容管理系统（CMS），KingCMS分为PHP+MySQL和ASP+MSSQL/ACCESS两种语言版本的系统。

CMS：新云

新云好像是从一个很老的ASP程序—惊云修改而成的，主要用于做软件下载站，可以实现静态化HTML页面。

ASP网站安全 篇3

关键词：ASP；网站安全；安全漏洞；防范策略

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011)06-0000-01

ASP-based Web Site Design Security Issues

Zhao Zhijiang

(Baise University,Baise533000,China)

Abstract:Currently, the development of tools for web design are many, and ASP (ActiveServer Pages) as a typical server-side web design technology that will script, hypertext, and powerful database access functions together, set a simple, efficient, And easy scalability in one. Therefore, its free Internet-based source code very much, many enterprises and institutions to download them directly as their website, also there is a flawed source, hundreds of websites have been affected by the phenomenon, there are some programmers Lack of principle for the ASP site and the means of background knowledge of the invasion, the design of the site there are significant security risks.

Keywords:ASP;Site security;Security vulnerabilities;Preventive strategies

随着互联网的迅速发展，为了能更好地更充分地使用好互联网这个世界上最大的交流平台，许多单位竞相建设了自己的网站。在Web数据库访问的多种技术中，ASP以其开发周期短、存取数据库方便、执行效率高而成为众多网站程序员的首选开发技术。ASP是Microsoft公司推出的一种用以取代CGI通用网关接口的技术，英文全称Active Server Pages，动态服务器网页。它是一个Web服务器端的运行环境。ASP本身包含了VBScript和Javascript引擎，使得脚本可以直接嵌入HTML中。ASP动态网站的安全问题是个值得网站设计者和管理者重视的问题。

一、ASP在网络安全上的优点

ASP脚本是使用VBScript，JavaScript或JScript脚本语言编写的，与标准HTML页面混合在一起的脚本所构成的文本格式的文件。当Web浏览器向Web服务器发出HTTP请求，访问ASP文件时，Web服务器判断出该请求的ASP文件含有“＜％”和“％＞”后，调用ASP。DLL，进行语法分析、解释执行，然后将最终结果转换成为标准的HTML格式内容，返回给Web浏览器，由Web浏览器显示。这是一次完整的ASP执行过程。ASP在网络安全方面主要有以下优点：

（一）不泄漏源代码。相比客户端执行的JavaScript程序，ASP在网络安全上的优点之一是用户不能看到ASP源程序。因为传到浏览器端的只是转换成HTML语言的结果。这一点既维护了ASP开发人员的版权，又维护了网站系统的安全。（二）支持虚拟目录。虚拟目录的建立在网络安全上有重要意义。因为虚拟目录方式可以隐藏站点目录结构。而站点目录结构的暴露，往往是导致系统受到攻击的第一步。而且网站源代码不需要任何修改，就可以搬迁到另一台服务器上正常运行，另外，管理员可以对虚拟目录设置不同的操作权限。从而方便管理，并且提高ASP程序的安全性。

二、ASP网站的主要安全隐患

（一）设计上的漏洞。有些网站在设计时存在利用网上的现成模板或代码公开的免费程序，有些ASP网站设计人员将有特权的用户名、密码、数据库路径等直接写在程序中，为攻击者攻击系统提供了破解密码、下载数据库甚至登录到后台获取网站的管理权限等途径。（二）系统软件和管理上的漏洞。Windows、Linux等操作系统以及网站采用的数据库系统如Access、SQL SERVER等存在有一定的安全漏洞；IIS、注册表、特殊系统命令和文件夹的属性、用户名及用户权限、用户口令及生存期等安全设置，若处理不当，对网站的安全性影响较大。（三）后台管理用户使用安全问题。网站后台管理用户由于习惯和安全责任心等对网站的安全性也有很大的影响，如后台登录的用户名、密码过于简单有规律、密码使用期太长等易被破解；密码保存问题、后台管理计算机系统有木马和计算机病毒容易造成密码泄露等。

三、对ASP安全隐患的防范策略

目前，大多数网站上的ASP程序有很多安全漏洞，但如果编写程序的时候注意一点的话，还是可以避免的。

（一）源程序泄露的防范。当存在ASP的主页正在制作且没有进行最后调试完成以前，可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找，会得到有关文件的定位，并能在浏览器中查看到数据库地点和结构的细节，并以此揭示完整的源代码。因此，程序员应该在网页发布前对它进行彻底的调试；安全专家则需要加固ASP文件以便外部的用户不能看到它们。首先对。inc文件内容进行加密，其次也可以使用。ASP文件代替。inc文件使用户无法从浏览器直接观看文件的源代码。inc文件的文件名不要使用系统默认的或者有特殊含义容易被用户猜测到的名称，尽量使用无规则的英文字母。（二）防止验证被绕过。现在需要经过验证的ASP程序大多是在页面头部加一个判断语句，但这还不够，有可能被黑客绕过验证直接进入。因此，对于这类问题的防范，需要经过验证的ASP页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。（三）用户名与口令破解的防范。用户名与口令，往往是黑客们最感兴趣的东西，如果被通过某种方式看到源代码，后果是严重的。因此，涉及用户名与口令的程序最好封装在服务器端，尽量少在ASP文件里出现，涉及与数据库连接的用户名与口令应给予最小的权限。出现次数多的用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及与数据库连接，在理想状态下只给它以执行存储过程的权限，千万不要直接给予该用户修改、插入、删除记录的权限。

四、结语

安全问题是任何网络程序开发所需要关注的首要问题，基于ASP的网站，由于其自身的脆弱，更需要对安全性问题给予足够的重视。虽然针对网站的攻击越来越频繁，安全问题给网站管理员造成了很大的压力。但是我们也不必恐慌，只要我们了解了攻击原理，就一定可以找到对付他们的方案。

参考文献：

浅析基于ASP的网站安全问题 篇4

1 网站安全的重要性

现在, 网络上的网站数量繁多, 并且已不仅仅是静态网站形式, 而是更加注重于与网民的互动性。其中, 重要的一块是电子商务类网站, 比如在线支付、在线交易、在线商城等等, 方便了广大人民群众, 提高了工作效率, 减少了现场交易等待时间。同时, 各种网站上都有不少网民的隐私。

网络上充斥着各种数据信息, 威胁了网站的安全。如果一个网站不安全, 则用户的交易数据、用户的个人隐私, 则暴露在网上, 对个人财产等造成一定的威胁。所以, 一个网站的安全直接关系到了网民的个人信息的安全。

2 ASP脚本介绍

ASP (Active server pages) 是一套微软开发的服务器端运行的脚本平台, ASP内含于IIS当中。我们可以结合HTML、ASP指令和ActiveX元件, 建立出动态的、交互的和执行高效的Web服务器应用程序。

A S P的工作模式是:A S P脚本是经过Web服务器解析之后, 向浏览器返回数据。所有的脚本都在服务器端执行, 包括所有嵌在普通H T M L中的脚本程序。当程序执行完毕后, 服务器仅将执行的结果返回给客户浏览器, 这样减轻了客户端浏览器的负担, 大大提高了交互的速度。

ASP具有如下优点:脚本无须编译、运行与浏览器无关、面向对象性、与ActiveX script兼容。

3 基于ASP的网站主要问题

ASP具有简单、易学性, 用户可以方便的编制出动态网页。但是, 需要看到使用ASP编制的网站的安全性不容忽视。非法用户通过ASP网页的一些漏洞, 攻入系统, 可以获得合法用户的权限, 或者获得服务器的权限。常见有如下几种攻击方式。

3.1 SQL注入攻击

ASP编制的网页具有动态性, 需要和用户发生交互, 完成一些动作。比如:用户输入用户名和密码登录网站。但由于编程人员未对用户输入的信息检查, 导致这里存在漏洞, 非法用户可以构造特殊的字符, 骗过网站的验证机制, 登录网站。比如, 网站使用如下的sql语句验证用户的信息。

Sql=“select*from user where username=’”&request (“username”) &”’and password=’”&request (“password”) &”’”

当用户输入用户名为user‘or’1’=’1, 密码任意时, 以上语句可以正常执行, 就会成功登录系统。

3.2 暴力破解用户名密码

非法用户惯用的手段, 如果知道了某个用户的用户名后。通过暴力手段的形式, 不断尝试各种密码, 以破解其密码, 而登录系统。对于一些简单的密码, 这种方法可行, 如果一些复杂的密码, 则需要较长的时间。

3.3 通过数据库S Q L获取服务器权限

在一些页面, 直接带有变量和参数形式, 比如:http://....../view.asp?id=1。用户可能尝试id=1中的参数是否有过滤, 如果网站编辑者未对参数过滤, 则页码会显示默认的错误信息。用户可以通过默认的错误信息, 判断该网站使用的是何种后台数据库, 如果判断是Sql Server数据库, 则可以进一步攻击网站。很多网站都使用Sql Server的默认用户名sa连接数据库, 则用户使用如下语句。

http://....../view.asp?i id=1;exec master..xp_cmdshell"net user hello 123/add"--。

用户通过有漏洞的语句, 执行了一个存储过程, 创建了一个用户名hello, 其密码为123的Windows账号。接着执行如下语句。

http://....../view.asp?id=1;exec master..xp_cmdshell"net localgroup hello administrators/add"—。

将新建的帐号hello加入到服务器的管理员组中, 用户拿到了系统最高权限。

3.4 下载数据库

有些小网站, 使用了Access数据库。由于管理员喜好用一些开源网站, 或使用一些常用的文件夹存放数据库文件。有些非法用户会尝试一些常用的地址和数据库名下载数据库文件。

3.5 猜测用户表

网站建设者在建立数据库表时, 用一些大众化的表名, 比如user、admin等等。一些有漏洞的网页中, 非法用户会尝试各种方法获取用户的内建表, 常用的方法是猜测各种表名。达到攻击网站的目的。

3.6 上传木马

网上有恶意的ASP代码页, 具有极强的控制计算机能力。有些网站提供了上传文件功能, 用户可以上传一些文件共享。但如有非法用户上传了带有恶意的A S P代码页, 则可以远端运行这样的页码, 轻易操纵和控制服务器。

3.7 服务器漏洞

服务器的Windows操作系统由于其广泛使用, 很多人在不断研究这种操作系统, 发现其漏洞。有些管理员不常更新Windows操作系统, 造成了漏洞一直存在。如果这些漏洞被非法用户利用, 则服务器就很容易被人攻击。

以上介绍了几种常见的网站攻击方式, 多数都是由于网站编程者和网站管理员的疏忽造成的。有很多的漏洞都可以预先知道并避免的。

4 防范措施

ASP脚本的易用性, 促使了很多编程者的吹捧, 但也有很多人在研究其弱点。每一种编程语言都无完美性, 但是, 只要加以防范, 有很多风险是可以避免的。下面介绍之。

4.1 验证用户输入

网站编程者在编程时, 就应该把安全放在首位。在要求用户输入的地方, 或网页传递变量的地方, 都要完全验证, 以防止SQL注入等的漏洞产生。比如:使用如下方法验证用户是否输入了不符合要求的信息。

4.2 数据库安全性

Sql Server具有安装方便和使用容易等优点。以至于有些网站管理员忽略了其安全性。首先, 给默认的用户sa一个强的密码, 比如数字和字母混合的密码, 增加其被破解的难点。其次, 网站连接数据库时, 禁止使用默认的sa用户, 使用一个具有最低权限的数据库用户。网站连接数据库时, 用户名和密码暴露在网页中, 一旦非法用户获取到了这样的网页, 就等于获取了服务器的最高权限。如果使用一个权限小的用户连接, 这样即使非法用户得到了这样的用户名和密码, 也不会对整个服务器构成威胁。

使用Access数据库时, 应尽量给数据库文件取一个长的名字, 这样不容易被别人猜中。其次, 改数据库文件的后缀, 比如将默认后缀mdb改为asp等。同时, 将该文件放到一个不易被猜中的文件夹中。这些手段都可以有效防止Access文件被下载。

4.3 阻断上传木马

在设计网站时, 如果不需要用户上传程序, 则尽量给用户屏蔽上传文件功能。如果确实需要用户上传程序, 则需要对文件上传文件进行审核, 比如, 禁止用户上传以ASP为后缀的文件, 禁止上传可执行文件等等, 将这方面的危险降到最低。

4.4 禁止用户多次尝试登录

现在有些自动登录程序, 可以重复尝试登录系统。这时, 可以限制用户尝试登录系统的次数, 比如1小时内只能尝试登录10次等等。另一种方法是, 网页随机生成数字, 用户只有输入这些有效数字, 才能有可能登录系统, 这阻断了一些自动登录程序的干扰。

4.5 建立数据的备份

及时备份数据文件是好的习惯, 这防止了数据的丢失而造成的损失。网站管理员可以手工备份, 也可以采用定时备份的方式备份数据。

4.6 经常更新服务器操作系统

经常更新Windows系统, 可以有效阻断由于操作系统的漏洞造成的损失。网站管理员需要经常关心Windows的官方网站, 及时发现新的补丁程序并下载和安装。同时, 需要多关心一些官方的报道。这样, 可以及时保证操作系统的安全性。

5 结语

ASP编制的网站数量越来越多, 现在, 人们已逐渐意识到网站的安全性问题。由于ASP使用人数多, 发现其漏洞的可能性就会更大。这就需要编程人员多关心这方面的安全知识, 在编程中养成好的编程习惯, 避免一些常见的安全漏洞。同时, 网站服务器的管理也是很重要的一方面, 需要重视服务器安全的配置。以上只是简单探讨了ASP网站的一些安全漏洞和一些解决措施, 有些更深入的探讨需要编程人员在实践中掌握。

参考文献

ASP网站安全 篇5

使用python来登录asp网站和登录其他网站差不多,只是因为asp页面在每次请求的时候都要带上viewstate,因此使用python来登录的话就多了一个步骤,获得这个页面的viewstate之后带上这个和你要post或get到该页面的请求数据就好了,下面这段程序是登录一个asp系统,然后搜索某些数据并将这些数据保存下来.

#coding=utf-8 import urllib2 from bs4 import BeautifulSoup import urllib import cookielib import re import httplib import time loginUrl=“登录地址”headers={“User-Agent”:“Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.120 Safari/537.36”} studentCookie = cookielib.CookieJar() pageOpener = urllib2.build_opener(urllib2.HTTPCookieProcessor(studentCookie)) loginPageRequest = urllib2.Request(loginUrl) loginPageHTML = pageOpener.open(loginPageRequest).read() “”“ s=requests.Session() s.headers.update(headers) r=s.get(loginUrl) ”“” print loginPageHTML soup=BeautifulSoup(loginPageHTML) __VIEWSTATE=soup.find(id=“__VIEWSTATE”)[‘value‘] __EVENTVALIDATION=soup.find(id=“__EVENTVALIDATION”)[‘value‘] print __VIEWSTATE print __EVENTVALIDATION login_data={ ‘ __EVENTTARGET‘:‘‘, ‘__EVENTARGUMENT‘:‘‘, ‘__LASTFOCUS‘:‘‘, ‘__VIEWSTATE‘:__VIEWSTATE, ‘__EVENTVALIDATION‘:__EVENTVALIDATION, ‘ClienScreentHeight‘:‘768‘, ‘TextBoxUserID‘:‘username‘, ‘TextBoxPWD‘:‘password‘, ‘drpLanguage‘:‘zh-CN‘, ‘ButtonConfirm.x‘:‘45‘, ‘ButtonConfirm.y‘:‘64‘ } loginHeader = { ‘User-Agent‘:‘sssssssssssssssssssssss‘ } loginData=urllib.urlencode(login_data) loginRequest = urllib2.Request(loginUrl , loginData , headers) loginResponse = pageOpener.open(loginRequest) print loginResponse theurl=‘登录后搜索页面地址‘ mainPageRequest = urllib2.Request(theurl) mainPageHTML = pageOpener.open(mainPageRequest).read() soup=BeautifulSoup(mainPageHTML) __VIEWSTATE=soup.find(id=“__VIEWSTATE”)[‘value‘] #__EVENTVALIDATION=soup.find(id=“__EVENTVALIDATION”)[‘value‘] print __VIEWSTATE #print __EVENTVALIDATION searchdata={ ‘__VIEWSTATE‘:__VIEWSTATE, ‘__EVENTVALIDATION‘:‘‘, ‘txtCopNO‘:‘‘, ‘txtCAR_NO_S‘:‘‘, ‘drpStatus‘:‘‘, ‘txtHiddenOrOnline‘:‘none‘, ‘txtAuto_id‘:‘‘, ‘drpType‘:‘‘, ‘drpBaseType‘:‘‘, ‘ddlIsStatus‘:0, ‘txtICCard‘:‘‘, ‘txtBILL_NO‘:‘‘, ‘txtGDateTime1‘:‘‘, ‘txtGDateTime2‘:‘‘, ‘drpFromKA‘:‘‘, ‘drpToKA‘:‘‘, ‘btnSearch‘:‘%E6%9F%A5+%E8%AF%A2%28F%29‘} data2=urllib.urlencode(searchdata)searchData=urllib.urlencode(searchdata) searcgRequest=urllib2.Request(theurl , searchData , headers) searchResponse=pageOpener.open(searcgRequest) print loginResponse print searchResponse searchHtml=searchResponse.read() filename= r‘C:UsersDellDesktopgetloginfile‘+time.strftime(‘%d%H%M‘,time.localtime(time.time()))+‘.html‘ file=open(filename,‘w‘) file.write(searchHtml) file.close() print ‘end‘ #raw_input()

ASP动态网站模块化教学 篇6

一、ASP动态网站制作教学存在的问题

目前，中职学生普遍存在基础知识不扎实，理论基础差，对理论知识的学习感到乏味等问题。另外，ASP动态网页制作的理论内容抽象、枯燥。因此，在教学过程中普遍存在以下问题。

1.理论内容抽象枯燥，学生难以理解。

2.上机时学生不知如何操作。

3.教师教学费力，学生学习吃力。

对于中职学生而言，学生的操作能力和水平会直接影响他们的未来就业。因此，如何上好ASP动态网站制作这门课，让中职学生掌握ASP动态网站制作的方法，是一个难题。

二、模块化教学的可行性

一台计算机是由主机、显示器、输入设备和输出设备组成。同理，一个网站，按照功能作用也可以分成若干个模块，大的模块还可以分成若干独立的子模块。

为什么ASP动态网站可以采用模块化教学，笔者个人认为有两个方面的原因：

1.ASP源代码的可重复性

ASP的源代码是可以重复使用的，我们可以根据网站的不同功能要求，将ASP源代码编写成不同的代码块或代码包。

2.动态网站的模块化

一个网站从整体设计可以分为页面布局、程序设计、数据库设计等若干块，从用户方面可以分为普通用户页面、管理员用户页面，从功能模块方面也可以分成不同的子功能模块。

由此可见，ASP动态网站采用模块化教学是可行的。

三、如何在ASP动态网站中实施模块化教学

由于我们的课程主要是学习ASP的编程，所以我们可以根据网站的功能来划分成若干模块进行学习。下面笔者就以《留言板》来进行模块的划分，根据网站的功能我们可以将它分成公共模块、页面模块和管理模块三大模块，其中页面模块和管理模块还可以分成更小的独立模块，如图1所示。

根据具体的功能作用，我们已把留言板系统分成了若干个独立的子模块。我们就可以让学生一个一个模块地学习。化繁为简，化整为零，逐一突破。这样，学生就可以更容易接受，更容易学习。

公共模块，我们可以把它设计成一块专门管理数据库连接、数据库读写、数据库删除等操作的模块。在教学的过程中，教师就可以系统性、全面性地将有关数据库相关操作的内容和方法教给学生。

数据库的相关操作是网站的一个核心技术，也是动态网站制作的一个难点，所有的动态网站都离不开对数据库的操作。模块化教学可以将数据库的相关操作进行一个归类总结。代码编写系统化、规范化，也让学生更容易学习与掌握。

例如，以下一段关于数据库连接的代码

<%

Set conn=server.createobject（“adodb.connection”）

connstr=”provider=Microsoft.jet.oledb.4.0；

datasource=”&server.mappath（“data/data.mdb”）

conn.openconnstr

%>

中职学生基础知识薄弱，大部分学生第一次接触都觉得很难理解，教师讲解也很费力。因为数据库的连接语句在动态网站制作过程中，出现的次数比较多，所以我们可以将它做成一个模块来学习。学生刚开始接触可能不明白、不理解，但可以使用这个模块。就拿现在的智能手机来说，刚开始的时候我们只会用，用久了我们也懂得一些刷root权限的方法。在动态网站制作中也是一样的道理。某个模块用多了，也会慢慢了解其中的原理。

四、模块化在ASP动态网站教学中的好处

在动态网站的学习中，如果没有一定的理论基础，那么上机实践是一件很艰难的事。中职学生以动手实践为主，如果学生连上机实践的机会都没有，那么他们就更加不想学，越做不了，就越不想学，越不想学，就越做不了，长期形成一个恶性的循环。

因此，模块化教学恰好可以帮我们解决这个问题。例如，我们要求学生做一个查看留言的页面。这个页面包括两个基本模块，如图2所示。

我们可以在教学前将这两个模块做好。如果发现学生不会编写这两个模块，那么我们就可以将做好的两个模块发给学生，让他们先学会如何将不同的模块组合起来，让学生可以尝试成功的滋味，让学生找到成就感，从而激发学生的学习兴趣。

模块化的教学还可以培养学生的团队精神。一个优秀的网站往往是由一个团队建设成的。有的人负责网站的布局美工，有的人负责网站的数据结构，有的人负责网站的程序编写，等等。在一个团队里，每个人的分工明确，工作效率也会得到大大的提高。

在ASP模块化教学中，传统的理论考核方式是不适合的。特别是中职学生是以动手能力为主的，因此，我们可以参照网站建设公司的方法。根据学生的技能水平，以5～6人为一组，分成若干小组，来完成一个网站的建设。如果学生擅长美工布局的，那么就让他制作页面的设计；如果学生擅长编写代码的，那么就让他编写代码。让每个学生都可以发挥自己的特点，享受学习的乐趣，从而培养学生的团队合作能力，为学生将来的社会工作打下一个坚实的基础。

五、总结

由此可见，在ASP动态网站制作教学中，采用模块化教学是提高教学效率的有效方法之一。模块化教学，将学习ASP动态网站制作的难度大大降低，化整为零，让学生一块一块地将知识消化，同时也让学生学会一块一块地将一个网站搭建起来，使学生认识到团队的重要性，培养学生的团队合作能力。

ASP网站安全 篇7

1 网络安全研究

1.1 常见问题

从不同的角度网络安全有着不同的解释,通常来说,控制安全和信息安全是网络的两个主要部分。网络具有分散性、广泛性特点[1],可以满足人类所期望的信息快速传递、灵活运用、共同享有等需求。网络技术不断发展和进步,推动人类进步,提高人类生活水平。但是,因为网络有着分散性、开放性等特点,致使出现了各种各样的安全问题,具体分析如下。

(1)一些不法分子利用网络的特点,进行网络破坏,利用网络进行非法交易,泄露信息,进行网络诈骗,甚至利用网络发表反动信息来颠倒黑白等,导致国家利益、人们的生命财产安全、社会共同利益等受到威胁。

(2)目前,网络已影响到整个社会,由此面临着控制难和管理复杂等问题。随着网络的发展和进步,人们的财产、物品、目标、价值等都和网络密不可分,并且由于个体的差异造成分歧,使信息资源的控制、管理、保护都出现纰漏和脱节,信息安全的问题也因此变得困难和复杂。

(3)信息易出现泄露、破坏、不受控制等问题,比如,各种侵权现象、泄露机密信息、系统无法接受信息流等,这些问题都是信息安全技术需要攻克的重点和难点[2]。

随着科学的进步,信息技术逐渐融入到国家重要的基础设施中,国家的经济信息命脉和核心的控制系统很可能受到恶意破坏和攻击,从而致使相关系统和设施损坏甚至瘫痪,影响个人财产安全、国防通讯设施、政府部门的相关网站等。

1.2 产生因素

网络是随着社会发展出现的新生产物,人们在网络安全问题上仍然存在着盲区和制约因素。在实际上生活中,许多人都忙于工作、学习和娱乐,对网络信息安全不够重视,安全意识极其淡薄,对网络信息安全现状还没有深刻认识。网络经营者和机构用户往往只注重网络效应,对网络安全的投入和管理不能够达到安全防范的要求。网络信息安全处于被动封堵漏洞状态,社会群众对网络知识了解有限,存在侥幸心理,使积极应对、主动防范的全民意识根本无法形成[3]。虽然近年来,政府在信息安全方面已做了极大努力,但是,所采用的保护措施仍然无法改变目前的被动情况。

其次,我国信息化建设的过程中缺乏自主技术的支撑,计算机设备中的CPU芯片、操作系统和数据库以及网关软件大都是外来进口的,这使我国计算机的安全性得不到保障,因此,我国网络面临不断受到干扰、窃听等信息安全隐患,网络安全受到极大威胁。

2 ASP技术应用研究

2.1 ASP技术应用现状

随着科学技术的发展,ASP技术在我国高校网站建设中得到了广泛应用,然而随着ASP技术的应用,高校网站安全性大大降低,出现了各种问题。例如,源代码流失、保密技术被盗用、黑客入侵、数据格式化等,这些问题都是目前高校网站必须解决的问题。

2.1.1 文件系统对象受到威胁

首先,ASP技术应用的安全漏洞,最显著的便是其文件的安全性受到威胁,例如,文件被删除、文件被拷贝以及文件名改变,这些问题都会影响到高校网站的安全应用[4]。

2.1.2 Access数据库可能被下载

ASP技术是以Access数据库为后台,在实际运用中,如果有人得知其数据库路径,便能下载Access文件,这个安全漏洞便会为高校网站带来严重影响。

2.2 ASP技术安全问题产生的因素

2.2.1 程序泄漏

ASP技术在实际应用中会出现一些安全漏洞,首先是由于Bak文件被泄漏,当编程人员在编写程序时,由于设置问题导致源程序文件会自动生成副本文件,即asp.bak文件,该文件很容易被下载,从而导致安全漏洞。

2.2.2 SQL注入

经研究,SQL注入具有操作简单的优点,因此,应用频率相对较高,且由于SQL注入与传统WEB访问具有一些相似点,导致防火墙难以识别,从而为安全风险留下可乘之机。

2.2.3 ASP木马

在ASP技术应用中,ASP木马十分常见,这是由于ASP木马原本就是由ASP所编写,从性质上看,二者之间无明显差别。当操作人员在应用ASP技术时便很难发现木马的存在,最终达到入侵目的。

3 基于ASP技术促进高校网站安全的有效对策

上文笔者对ASP技术的应用现状进行了分析,从中发现诸多安全问题,为了更好地防范安全隐患,高校应采取以下措施。

3.1 防火墙技术的应用

防火墙是保障高校网站安全性和可靠性的重要屏障,它监测并控制着外网和高校网站传递信息的数据包,有效管理网络,例如控制网络访问等。防火墙能够准确监测到危险信息并及时发出警告,对于确认为病毒或其他非法数据的信息做到有效拦截和限制,甚至直接清除,它严格监控着进出高校网站的各种信息数据。高校网站防火墙一般都处在非常关键的位置,防火墙不仅具备基础功能,还拥有较为实用的附加功能,例如身份验证等。防火墙的优点是能够保护高校网站的安全,它按照自己的要求,对于不符合要求的信息进行有效拦截。

3.2 加强硬件服务器系统安全配置

随着互联网的快速发展,现在网络上的病毒日趋猖獗,应用服务器除了安装防火墙进行防护外,还需要在网络服务器上安装网络版的杀毒软件来控制病毒传播,目前,大多数反病毒厂商(如瑞星、冠群金辰、趋势、赛门铁克、熊猫等)都已推出了网络版的杀毒软件。同时,在网络版的杀毒软件使用中,必须要定期或及时升级杀毒软件[5]。服务器操作系统在安装时,会启动一些不需要的服务,这样会占用系统资源,而且会增加系统的安全隐患。另外,及时更新系统补丁也是重要的安全手段。

3.3 ASP网站安全配置

为尽量保证服务器的安全,除了限制上传目录的执行权限外,还需要对硬件服务器进行安全设置。以高校目前应用服务器使用最多的Windows 2003为例,首先将磁盘转为NTFS格式,然后将系统默认的Administrator系统管理员改名,并且设置足够安全的密码。同时为了更有效防止黑客入侵服务器,可创建一个赋予最低系统权限的账号Administrator,避免黑客轻易获得系统管理员账号权限。

3.4 提高风险管理意识

系统安全管理的一个核心工作就是风险管理,相关管理人员应全面了解高校网站实际风险状况,同时对风险状况进行分析,依据分析结果为网站设计具体安全应急预案,然后实施针对性比较强的应急演练,其中应急演练每年最少要进行一次。

持续性监测高校网站比较有可能出现的安全事件以及潜在风险安全情况是非常有必要的,应构建本地或者是远程监控平台,对网站运营安全性以及可用性进行监控,如果出现异常情况就会及时报警,同时定期分析以往监控数据,并且进行归档。对于网站安全性监控,主要包括关键词、页面篡改、域名劫持以及网站挂马等。对于网站可用性监控,主要包括下载速度、网站连通、具体业务功能、响应时间以及系统资源等。

3.5 严格进行外部扫描以及渗透测试

渗透测试以及外部扫描能够有效保障高校网站运营安全,渗透测试主要指在可控条件下,利用模拟不同真实攻击方法的手段,对系统安全防护的有效性进行检查,检查结果真实性非常强,能够找出最突出的问题。每季度必须对高校网站进行一次外部扫描,对网站外开放端口进行扫描,同时分析其中的漏洞隐患。进行渗透测试以及外部扫描之后获得的测试报告能够给网站管理工作人员提供一定的依据,采取合理的措施,以保证系统的安全性。

4 结语

随着信息技术的发展和进步,人们生活和国家的发展与网络信息安全已紧密联系在一起。ASP技术在高校网站中占有一席之地,并发挥出一定作用,然而在实际运用过程中,各种安全问题逐渐凸显出来,为了促进该技术的有效应用,高校应采取一系列有效措施,加强防范力度。同时,还可以给系统安全建设与安全管理系统提供可行性以及针对性均比较强的指导以及服务,从而合理控制安全建设方面的成本投入,并且还可以促进信息安全资源的合理配置,从而确保高校网站的安全运行。

摘要：高校网站的构建是一项较为复杂的系统工程,它是各高校不可或缺的组成部分。目前,高校网站的主要优点在于其经济性和一定的安全性,其主要缺点在于其脆弱性,遇到病毒和恶意攻击往往会显得很脆弱。ASP技术作为一种常用的动态网页开发技术,在高校网站建设中起到至关重要的作用,该技术简单实用,被广泛应用在我国高校网站当中。然而,尽管该技术对网站建设起到一定效果,但缺乏安全性,如果不正确运用,便会导致诸多安全隐患出现。基于此,将对基于ASP技术的高校网站安全进行分析研究。

关键词：ASP技术,高校网站,网站安全

参考文献

[1]胡秀源.基于ASP技术的动态网站设计[J].制造业自动化,2011(6):204-206.

[2]张波.浅谈ASP技术在动态网页设计中的应用[J].中国新通信,2010(5):41-44.

[3]党伟.基于ASP技术开发的网站安全防护探讨[J].信息系统工程,2016(4):108-109.

[4]倪海.高校网站安全管理技术探讨[J].现代商贸工业,2010(22):383.

ASP网站安全 篇8

1 常用攻击方法

随着信息技术的不断发展，黑客攻击方法和手段也在不断翻新，给网站管理人员也带来了沉重的工作负担，在网站管理与维护过程中常会顾此失彼，甚至给黑客留下可乘之机。了解黑客攻击网站常用的方法，将有助于建立全面有效的网站信息安全体系。现有ASP网站常用配置方案是IIS+ASP+SQL或IIS+ASP+Access，综合分析被攻击网站，黑客攻击方法主要有两种。一种是对数据库的攻击，最简单方法是下载Acces数据库，获取用户后台登录信息，或利用SQL注入攻击检测数据库的漏洞，猜测数据库字段名称或字段值，对SQL数据库进行远程登录或获取个人登录信息。随着网站安全管理人员安全防范意识逐渐增强，及时对漏洞进行修复，这种方式已很少见。另一种是利用系统或上传文件程序漏洞上传木马，并调用服务器端组件对服务器进行控制，对页面或数据库文件进行非法篡改。从众多攻击网站的案例来看，对网站主页或某些二级页面的更改占了很大的比例。目前通用的做法是对数据加密、安装防火墙、杀毒软件等安全设置，但通过对木马的伪装很易通过上传验证。最为有效防治方法是改变文件夹写入权限，限制上传文件或对数据库添加信息，这将导致网站内容无法更新，显然是不可取的。为了解决这一问题，ASP网站安全管理系统就是监测网站文件的内容，实现系统安全管理的目标。

2 设计与实现

2.1 系统工作原理

要防止黑客入侵，仅靠防火墙、入侵检测系统是远远不够的，这些技术只是从防御的角度来防止入侵，并不能从根本上解决问题。ASP网站安全管理系统是当防火墙等安全措施失败后，对安全防御系统的最后一道防线，是文件被非法篡改后“亡羊补牢”的有效措施，将损失尽可能降到最低。其工作原理是ASP网站部署完成后，将其备份到不同的盘符目录下，启动管理系统监测指定的文件或文件夹，不间断将文件和数据库保存信息相比较。当内容发生变化时，及时保存防火墙等安全日志记录，并向网站管理人员发出告警，启动恢复系统，将备份文件复制至网站目录下。为安全防御系统提供一种及时的主动响应，并为网站内容实行24小时的实时监控。通过简洁的管理界面，对网站的管理变理轻松自在，杜绝了由于网站管理失误而带来的网站安全隐患。

ASP动态网站工作原理是当接收到请求后，根据请求从数据库中查找内容并返回客户端，对网站内容正常更新一般只是数据库和上传目录会发生变化，脚本文件内容不会发生变化，即是脚本代码不会变化。通过上述分析可知，黑客为了达到攻击的目的，只能是修改脚本文件或修改数据库的内容。系统运行过程中，就可比较脚本文件和数据库文件的属性，如文件大小、创建修改时间等。也可对文件的内容进行全文对比，可对文件夹中文件数量的多少进行对比，如果上述任一发生变化，即可视为网站受到攻击，并作出正确的处理。

2.2 系统组成

系统主要由系统监测、系统备份和恢复两部分组成，系统监测主要包括监测设置和系统监测，系统备份和恢复主要是当网站受到攻击时作出的处理。为了降低运行成本和快速恢复，本系统设计为单机并在ASP服务器上运行。现对文件检测主要有文件属性和文件内容两种方式，文件属性检测比较常用的是比较文件的大小等属性，虽然这种方法比较简单，但当黑客通过精心设计，将替换文件属性和原文件属性设置完全一样时，系统就无法及时检测出来。而文件内容检测，并对整站文件或文件夹进行不间断扫描检测，会影响ASP服务器的性能。

为了解决上述问题，在本系统中将网站文件按是否易受攻击分为两个等级，不同的等级采用不同的监测方式，如重点等级为网站需重点监测的文件，不论监测时间间隔长短都应比较文件的内容，一般等级文件将文件属性和文件内容检测混合进行，如间隔5分钟检测文件属性，间隔10分钟检测文件内容，系统可由用户对文件进行等级划分。并可由用户将不同等级的文件的扫描检测时间间隔设置为不一样，等级高的时间间隔可以设置较短，对等级较低的可将间隔设置较长，这可减轻系统的负担，满足用户不同的需求。同时，为了提高系统的性能，减少系统的开销，文件内容比较在本系统中采用文件的数字签名比较方式，如MD5签名算法，针对字符串或文件生成32位字符的签名比较两个文件或字符串只需比较MD5签名就行了，能迅速比较出两个字符串或文件的异同。由于数字签名的不可伪造性，确保文件内容的相同。

系统的运行是保障网站的安全，但正常的网站内容更新和维护也会视为受到攻击。为了进行区别，在本系统中当检测到文件内容发生变化时，不是立即恢复网站内容，而是对其他条件进行检测。如在网站数据库表中保存某一个值，系统通过网页页面读取其值并解密，如果正确就将整站文件进行备份，否则就视为网站受到攻击，系统就直接将整站文件进行删除，并复制备份目录下文件至站点目录中，系统监测过程如图1所示。

在系统设计中将网站的备份放在Web虚拟目录之外的其它盘符目录。但由于系统软件与ASP服务器运行在同一台服务器上，如果入侵者能进入到虚拟目录以外的地方，则可能对备份也有破坏，这要正确配置系统，关闭除Web之外不必要的服务和端口，并安装防火墙对信息加以过滤。

2.3 系统模块

设计并实现的网站安全保护系统，可检测出网页文件是否发生变化，必要时可对网站进行恢复。本系统主要由登录模块、监控设置模块、监测模块、系统备份和恢复模块组成。

(1）系统登录模块，负责对操作人员的身份验证，只有输入正确的账号和密码才能启动或退出本系统。为了防止黑客对密码的破解，须对密码进行加密处理保存到数据库中。同时，为防止黑客添加新账号和密码进入系统，可将账号作为数据表的主键，设置不能添加多个账号等限制。

(2）监控设置模块，主要是对系统监测的页面进行管理，包括添加、删除和修改。在添加页面时，通过界面打开网站虚拟目录位置，选择对应文件即可对其进行操作，主要包括设置监测扫描的时间间隔、扫描等级和文件大小、修改时间、数字签名等信息，并将这些信息保存到数据库中。当对网页进行更新时，可先停止监测检查，通过修改页面对文件信息进行更新。

(3）监测模块，主要用于对各文件或文件夹进行扫描比对。根据系统设计，文件监测主要分为两个等级，可放置多个定时器，较低等级监测短时间内比较文件的大小、文件属性，较长时间间隔比较一次文件内容，高等级文件比较文件的数字签名。若发现文件有变化，就启动备份和恢复模块对网站进行恢复，为了方便管理，在界面中设置启动和停止监测按钮。

(4）备份和恢复模块，用于当网站文件发生变化时，用备份文件覆盖网站原文件，在网站文件有更新时，使用系统将网站文件备份到指定的目录。在恢复网站文件时，为了达到彻底清除黑客攻击影响的目的，采用将原网站文件进行删除，再将备份文件复制至网站虚拟目录下的方法。当发生恢复时，进行日志登记，并发出警报声提醒网站管理人员。

3 结语

计算机网络的发展给人们带来了极大的方便，也因黑客的存在扰乱了正常的网络秩序。在网站安全管理中，仅靠防火墙等安全设施是无法保证网站安全的，设计与完善网站内容防护系统是非常有必要的。随着黑客攻击手段不断翻新，应对系统防御方法不断升级，如实行网站服务器和系统监测分离、备份目录不在网站服务器中等。只要计算机系统存在安全漏洞，计算机系统就有可能被黑客攻破。因此防范黑客攻击，保障计算机系统安全是一项任重道远的工作。

参考文献

[1]高延玲,张玉清,等.网页保护系统综述[J].计算机工程,2004,(10).

[2]赵井文.Visual basic程序设计案例教程.北京:北京交通大学出版社,2007.

[3]黄金波.ASP动态网页设计实用教程.北京:北京交通大学出版社,2009.

[4]张建化.Web页面防篡改及防重放机制[J].计算机应用,2006,(02).

ASP网站安全 篇9

摘要：ASP因其快速强大的开发能力而被广泛应用于网站开发中,通过对其工作原理的分析,从ASP页面设计、数据库及Web服务器等方面阐述了基于ASP网站开发的安全隐患,并提出相应的预防策略。

关键词：ASP,网站开发,安全隐患,预防策略

参考文献

[1]王秋祎.让ASP技术更加安全[J].电脑知识与技术,2009,5(15):3909-3910.

[2]周军.ASP网站系统安全技术研究[J].计算机应用与软件,2007,5:190-191.

[3]舒清录,廖明梅.基于ASP的Access数据库安全隐患及预防策略[J].软件导刊,2009,8(6):148-149.

[4]陈小兵,于滨.Asp木马漏洞安全防范策略[J].河北理工学院学报,2006,28(1):66-67.

[5]胡波.基于ASP的安全技术研究[J].长春理工大学学报:高教版,2009,4(1):125.

ASP网站安全 篇10

在数据库系统中，许多数据集中存放，被许多用户共同享用，因而其安全性问题尤为突出。一旦存储大量数据的数据库遭到破坏，整个数据库系统就都将面临崩溃。ASP技术具有编程灵活且简便等优越的特点而使其成为当下最为广泛访问WEB数据库技术中应用的一种技术。本文分析研究数据库的安全问题是选用ASP+SQL Server2000开发Web网站为实例的。

1 分析ASP技术的安全开发问题

按照计算机web网络服务器的结构，Web网站的数据安全性可分操作系统层次、IIS层次、数据库管理系统层次、ASP源代码层次四个层次。本文通过分析ASP连接SQL Serve数据库的操作来举例说明安全开发的问题，多数情况下，程序开发人员在应用SQL Server数据库进行动态网站开发时，都会选择直接使用SQL Server的系统用户账号Sa和密码进行数据库访问。以ADO方法连接数据库为例子：建立与KWServer服务器上KWGL数据库的连接，其ASP连接数据库代码如下：

一旦非法用户查得到数据库的连接文件，由于Sa账号的管理权限是最高的，非法用户就能够很轻松地进入到数据库中，进而对数据表等数据信息进行破坏。可以从SQL Server2000数据库管理系统自身提供的安全机制出发提高数据库系统的安全性。

2 SQL Server数据库系统安全认证机制

用户在访问数据库以及数据库对象时，需要经过身份认证和权限授予两个安全性阶段。登录帐号认证是SQL Server2000数据库管理系统用来控制约束用户对服务器的连接进入问题，更进一步，使用数据库的“授权”限制是用户对数据库及数据库对象的操作，两个方面共同组成SQL Server数据库管理系统的安全机制。SQL Server DBMS的安全策略都是具有层次结构的，层层递进，即只有满足上层系统的安全性需求之后方能进入下一层。

2.1 身份认证阶段

用户首先要获得SQL Server上对数据库的访问权限，要先要被系统承认，认为是合法的才登录到服务器上，然后，SQL Server对用户进行身份认证通过就可以连接到SQLServer上，认证不通过服务器就将拒绝用户登录。

2.2 权限授予阶段

身份认证阶段系统只基本的检验用户是否有连接SQL Server实例的权限，身份认证通过就表示用户可以连接SQL Server，身份认证不通过则系统将拒绝用户的连接。然后进一步就需要授予SQL Server数据库中对应到用户登录的帐号访问权利，需要检验用户是否有访问服务器上数据库的权限，因此，用户的权限认证可以约束控制用户在数据库中进行的所有操作。

3 SQL注入漏洞的防范措施

在客户端上是无法看到ASP程序后台执行过程，ASP源代码也一样是客户端看不到的，但是即便这样，在数据库的弱权账户下，非法用户对数据表的直接访问也是十分危险的，网站结构信息容易暴露不说，还可能引发攻击的可能性。非法入侵者SQL注入漏洞的方式多种多样，如：定义函数防范SQL注入漏洞，通过FORM表单提交数据注入，过滤参数中的非法字符防范SQL注入漏洞等等，这里因为篇幅有限，不一一列举，只简要谈一下过滤参数中的非法字符防范SQL注入漏洞和定义函数防范SQL注入漏洞。

3.1 过滤参数中的非法字符的方法

通过把浏览器地址栏中将要访问的文件名后面加上问号及参数列表的手段，黑客（非法用户）可以用来猜解出字段名、表名、用户名和对应的密码信息等，如：构造URL地址为http://127.0.0.1/login.asp?uname=admin'and(select count)from data)>0 and`a'='a。通过不停地变换表名“data”，直到猜出真表名。猜出表名后即可猜字段名，通过提交不同的SQL语句给URL地址，根据链接的页面显示是否正常，可以把数据库中所有记录的数据逐个“解出”。

3.2 定义函数的方法

由于数据库中存储的用户名和密码都是对应的字符串型数据，在查询数据库时我们通常使用引号把查询值括起来。但是很多网站喜欢把用户名和密码放到数据库中，此时，黑客（攻击者）只要根据SQL构造一个特殊的用户名和密码，就可以轻而易举的通过数据库的验证，进入访问本来没有权限的页面。如果要防止此类的ASP程序密码验证漏洞，可通过使用定义函数的方法对SQL语句中的单引号进行转换来实现。

4 结束语

探讨ASP+SQL Server2000开发Web网站中所遇到的访问数据库的安全性问题，从数据库系统安全认证机制出发，通过分析常见的几种SQL注入漏洞的方式，得到了防范数据库安全的保障措施。一般而言，数据库系统本身的安全措施只能满足最基本的需求和应用，对于一些敏感领域和重要的单位部门，还要考虑更深层次的处理手段，在数据库的安全访问控制的前提下，进行相关存储重要数据库运用加密技术来增强安全性。

摘要：许多用户共享的数据都集中在数据库系统中,因而其安全性也是个十分重要的问题。一旦数据库遭到破坏,整个系统都将面临崩溃。从SQL Server2000数据库管理自身提供的安全机制出发,对在设计与开发Web网站中所遇到的操作数据库的安全性问题进行探讨,并对SQL注入漏洞给出具体的防范措施,这些方法和措施可用于网站设计中对SQL Serve数据库进行安全访问控制。

关键词：SQLServer,数据库,Web网站,安全性

参考文献

[1]孔峰.基于ASP的WEB数据库安全初探[J].中国现代教育装备,2006.

[2]唐红亮.ASP动态网页设计应用教程[M].北京:电子工业出版社,2008.

ASP网站安全 篇11

关键词：ASP；气象网站；数据库

1 引言

网络经济发展突飞猛进，电子商务一日千里，网页制作是网络时代学习信息技术需要掌握的基本技能之一。早期的网页主要是静态的，后来由于有了CGI、NSAPI、ISAPI、WSAPI、IDC、ASP、JSP、DHTML、PHP、ASP.NET等技术的发展，使得WEB页面可以方便地传播动态信息。对于网络普及的现状，气象网络系统也更加关注这方面的发展和应用。气象数据的存储，刚开始是直接的文件存储，到现今是关系型的数据库存储，数据的存储量在不断地增加，对于这些数据的使用也越来越繁琐。现就自己在使用ASP开发气象动态网页，在网页中实现实时显示、查询数据库数据等功能过程中遇到的一些问题谈谈自己的看法。

2 ASP简介

ASP是Active Server Page的缩写，意为“动态服务器页面”。利用ASP可以向网页中添加交互式内容（如在线表单），也可以创建使用HTML网页作为用户界面的Web应用程序。ASP文件就是在普通的HTML文件中嵌入VbScript或JavaScript脚本语言，当用户用浏览器查看ASP网页时，客户请求一个ASP文件，服务器就把该文件解释成标准的HTML文件发过去。

3 开发工具的选择

选择合适的工具对开发可以起到事半功倍的效果。基于类工具的优缺点，开发者可以综合考虑，选择适宜的工具。一般地，对于初学者来说，记事本是个不错的选择。它对界面没有太高的要求，并且在输入过程中对每行代码有一定的感性认识，对程序的层次结构有一个总的了解。对于有一定基础的开发者，可以根据个人需求来选择适合自己的工具，只要能发挥这些开发工具的特色，就都可以编写出好的网页来。

4 数据库

4.1数据库的选择

数据的存取方式一直是应用程序开发模式的一个重要论点，在以往的环境中，选择最有效率的数据库服务器一直是最重要的考虑。小型网站的开发可以选择Access、Foxpro这样的小型关系数据库，而Sybase、Oracle、Informix、Sql Server适合进行大型数据库的开发。

4.2数据库结构的确立

数据库结构的确立，对于ASP动态网页设计是非常重要的一部分。动态网页的主要任务如查询、添加、删除、修改、分页等都集中在对数据库的操作上，特别是进行大型系统开发时，数据库结构直接影响其设计技术路线和使用效率。现在的数据库绝大多数是关系型的数据库，确定各个数据的关系亦至关重要。气象数据包含很多内容，有风速、风向、雨量、气温、湿度、气压、地温、能见度等等很多要素。在开发气象数据动态网页显示时，首先要了解数据库的结构，对数据进行仔细分析，从中剔除数据冗余，使各个数据之间的关系合理。如果数据库的结构不合理，入库和查询时会出现问题，并给开发带来很多麻烦。

4.3数据库的连接

要对数据库进行操作，首先要连接数据库，这就要用到Connection对象，具体连接方法有两种。

(1) 利用数据源的连接方法

此方法需要通过“ODBC数据源管理器”设置数据源。

(2) 不用数据源的连接方法

使用数据源的连接方式尽管简单，但是需要在服务器端设置数据源。如果希望把程序从一个服务器移植到另一个服务器上，还需要在另一台服务器上设置数据源，比较麻烦。这时可以直接通过程序代码书写连接语句，利用OLE DB的方法直接连接数据库。

Server对象的Mappath方法可以将虚拟路径转化为物理路径，使用此方法以后，如果将程序从一个服务器移植到另一个服务器，既不需要设置数据源，也不需要修改数据库文件的物理路径，非常方便。

5 开发的基本流程

5.1 HTML静态页面设计

动态页面是将程序镶嵌在HTML静态页面中，所以必须在添加程序之前完成静态页面的设计，这样在编写和调试程序时才可以使开发过程更顺利。

5.2 编写Web应用程序

根据Web应用程序的需求，构建应用程序中的数据结构，这是在整个程序编写过成中非常重要的环节，只有数据结构合理才能使程序的编写省时省力。

5.3 调试应用程序

在编好的程序中总会出现这样或那样的错误，这就需要用户运行Web应用程序，从浏览器中找出其中的错误，然后再对应用程序进行修改，最终改正错误。普通的HTML页面不用服务器就可以显示，而动态的页面必须有服务器的编译才能显示。

5.4 开发实例

目前，大连气象网站的编写采用Dream

weaver与Editplus相结合的方式进行开发，使用Dreamweaver来进行界面设计，然后用Editplus来完成动态网页的脚本开发；使用Sql Server数据库作为网站的数据支持；利用数据源的连接方法连接数据库。大连气象自动站小时数据查询动态页面中主要利用了JavaScript编写其中的查询控件，该内容里的JavaScript查询代码过长，这里就不列出了。

6 结语

随着互联网络的普及和应用的深入，通过ASP等这样的互联网技术，气象系统把各种气象数据提供在网上，预报人员等可以随意在网络上参考、查询自己需求的内容。但是先进的网页开发技术还有PHP、JSP、ASP.NET等等，所以气象网站需要改进和完善的地方还有很多，希望以后能把网站编写得越来越人性化，能更加方便本系统的人员和广大用户的使用。

参考文献

[1]林小芳.ASP动态网页设计教程[M].清华大学出版社/北京交通大学出版社,2006.

[2]齐建玲.网页设计与制作[M].清华大学出版社/北京交通大学出版社,2006.

作者简介：夏葳（1984-），女，本科学历，助理工程师，从事网络维护与开发。

ASP网站安全 篇12

1 SQL注入攻击和防御

SQL注入攻击是指从客户端地址栏或网页的接口输入提交一些特殊的非法代码,让其注入到服务器端正常执行的业务SQL中去,从而改变SQL语句的原有逻辑,获取重要的敏感数据,绕过登录验证,甚至执行系统命令,上传后门文件等行为。由于SQL注入从正常Web端口访问,一般防火墙不会阻挡和警告,Web系统可能被入侵而长时间不会被发现。理论上只要是带有查询字符串变量参数的动态网页且此网页访问数据库,如果Web应用程序中没有对输入参数进行必要的合法检查和过滤,就有可能成为SQL注入攻击漏洞。

1.1 SQL注入点判断

可以判断存在SQL注入漏洞。

可以判断存在SQL注入漏洞。

1.2 SQL注入攻击

利用SQL注入漏洞,通过在查询字符串参数加上特殊的Select查询语句可查看管理员表的信息。

1)获取管理员表名方法

2)获取管理员表中字段名和字段值

,如正常执行,就会在原来页面正常显示动态信息的地方显示上述对应的数字,然后将对应的数字换成猜测的字段名即可。

1.3 SQL注入防御

在开发Web应用程序时,查询字符串变量参数最好使用数值型,对输入的内容要进行必要的合法性检查验证,可根据查询语句参数的类型,如果是数值型可通过数据类型转换方法验证,如出错则跳转到出错页;如果是字符串型查询参数则应要过滤一些敏感的字符,并作为Command命令对象的参数值使用。应尽量使用Session传递参数,对查询字符串变量最好定义专用类或由空页处理后再转到相关的页面,处理方法如下述代码所示:

2 XSS注入漏洞和防御

XSS即跨站脚本攻击,是指通过向Web页面里插入恶意脚本代码,当用户浏览该页时,嵌入其中脚本代码就自动执行,从而达到恶意用户的目的,例如,自动打开和发送有关页,盗取会话、cookie信息等。

2.1 XSS注入攻击

Web应用程序中假如有用户注册、留言等功能,如果没有对输入和输出的信息进行合法性验证和过滤就有可能成为XSS注入攻击点。

例如通过用户注册或留言向网站数据库中输入如下脚本代码:

当用户打开含有此脚本的页面时,脚本就自动执行,打开另一网站的页面,并将保存在本地的此网站的Cookie发送过去。如果inputcookie.aspx的页面中含有接收cookie并存放到数据库的功能,就非法获取了用户的Cookie信息。inputcookie.aspx页面的代码如下:

2.2 XSS注入防御

Asp.net 1.1后页面具备了对表单自动检测是否存在XSS漏洞的能力,当提交如<xxxx>之类的输入时,引擎会自动引发一个请求验证异常错误,aspx界面Page指令中默认为Validate Re-quest="true",这样就会自动验证所提交的内容是否含XSS漏洞内容。因此不要将前台页面Page指令中的“Validate Request”设为“false”,尽量不要在动态网站的前台使用富文本编辑器,如果非要使用,则对所输入的内容进行严格的过滤,过滤掉敏感的符号或单词,保留需要的html代码,代码如下所示:

3 小结