|
虽然JSP语言网站的已经开始在互联网里面盛行,但目前依然很多的网站采取基于ASP和Access的架构来组建的,并且很多采取在网上直接下载模板来构建。 由于ASP本身存在一些安全漏洞,稍不小心就可能给攻击者提供可乘之机。目前ASP+ACCESS网站的主要安全隐患来自Access数据库的安全性,还有ASP网页设计过程中没有把很多关键词进行过滤。故做好ASP网站的漏洞的检测和防御很有必要性的。 一、漏洞检测 针对网站的漏洞检测,我们需要一个网站漏洞检测工具来帮忙检测漏洞。 在这采取最近挺流行的在线漏洞扫描工具——亿思平台。由于是亿思是web应用平台,我们只需要将网站提交上去扫描就可以,这样可以省去在电脑上扫描的时间。 简单说一下操作,首先通过账号登录其官网(http://www.)把要扫描的网站提交上去,里面有好几种漏洞策略提供扫描的,为扫描更全面,选择“ALL”就可以啦。扫描完就可以查看其网站的漏洞种类。 二、 漏洞解析 1、 用户名与口令被破解 用户名与口令,往往是攻击者们最感兴趣的东西,如果被通过某种方式看到源代码,后果是严重的,我们的网站很快就会被攻击者占据。 2、 ASP上传漏洞 有些网站允许用户上传文件,但必需对这些上传文件十分小心,为什么论坛程序被攻破后主机也随之被攻击者占据。原因就在于可能存在ASP木马,它能把一个文件随便放到你论坛的程序中,进而整个网站被攻击者占据。 3、 inc文件泄露问题 当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。 4、 特殊字符 输入框是黑客利用的一个目标,他们可以通过输入脚本语言等对用户客户端造成损坏;如果该输入框涉及数据查询,他们会利用特殊查询语句,得到更多的数据库数据,甚至表的全部。因此必须对输入框进行过滤。但如果为了提高效率仅在客户端进行输入合法性检查,仍有可能被绕过。 5、 Access数据库的存储隐患 在ASP+Access应用系统中,如果获得或者猜到Access数据库的存储路径和数据库名,则该数据库就可以被下载到本地。例如:对于网上书店的Access数据库,人们一般命名为book.mdb、store.mdb等,而存储的路径一般为“URL/database”或干脆放在根目录(“URL/”)下。这样,只要在浏览器地址栏中敲入地址:“URL/database/store.mdb”,就可以轻易地把store.mdb下载到本地的机器中。 三、 防范对策 1、 防止泄露源代码 涉及用户名与口令的程序最好封装在服务器端,尽量少在ASP文件里出现,涉及与数据库连接的用户名与口令应给予最小的权限。出现次数多的用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及与数据库连接,在理想状态下只给它以执行存储过程的权限,千万不要直接给予该用户修改、插入、删除记录的权限。 2、 限制上传文件格式为了防止ASP木马被上传到服务器, 3、 加密inc文件程序员应该在网页发布前对它进行彻底的调试还必需加固ASP文件以便外部的用户不能看到它们。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件使用户无法从浏览器直接观看文件的源代码。inc文件的文件名不要使用系统默认的或者有特殊含义容易被用户猜测到的名称,尽量使用无规则的英文字母。 4、 屏蔽某些特殊的语名和字符在处理类似留言板、BBS等输入框的ASP程序中,最好屏蔽掉HTML、JavaScript、VBScript语句,如无特殊要求,可以限定只允许输入字母与数字,屏蔽掉特殊字符。同时对输入字符的长度进行限制。对输入的字符不但要在客户端进行输入合法性检查,同时要在服务器端程序中进行类似检查。 |
|
|
