- Login
帳號:
密碼:
ASP MENU
線上教學
   ASP 教學
VB.NET 教學
JSP 教學
JAVA 教學
完整 ASP 教學
程式下載
   ASP 程式下載
提供 ASP 程式
程式量身訂做
   收費標準
填寫需求表
討論交流專區
   程式討論區
電腦資訊交流
工作機會
   社會人就職情報
汎亞人力銀行
大台中人力銀行
大高雄人力銀行
相關連結
   ASP 虛擬空間
ASP 相關網站
聯絡我們
   意見信箱
加入會員程式討論區線上購物回首頁
ASP 教學
ASP漏洞及安全建議(4)
六 ASP安全建議
如何設置才能使ASP更加安全呢?以下我們重點來談談ASP安全方面要注意的問題。我們在第五部分“ASP漏洞和解決方法”中針對某些漏洞,也提出了相應的安全建議,這部分就不再重複。
  在這部分的後面還要介紹些可掃描ASP漏洞的工具。

1 安裝NT最新的補丁
目前最新的補丁是NT Option Pack 6.0.,微軟的主頁有最新的補丁。一般來說微軟都會及時的公佈最新的漏洞和補丁。目前IIS最新是5.0。windows2000自帶IIS5.0.
IIS 5.0新功能如下:
安全性上:包括摘要式驗證、整合的Windows驗證、SGC (Server-Gated Cryptography ) 、Microsoft Certificate Services 2.0、集區處理程序之程序保護等。
管理上:包括IIS重新激活、站台CPU使用時間的限制、CPU資源使用記錄、使用終端機服務遠程管理IIS、自訂錯誤訊息等。
Internet標準上:包括WebDAV(Web Distributed Authoring and Versioning)、FTP重新激活、HTTP壓縮等。

Active Server Pages:包括新的轉向方法(Server.Transfer與Server.Execute方法)、新的錯誤處理功能(Server.GetLastError方法)、無指令.asp的執行速度增快、可安裝組件的效能調升、Scriptlet支持、使用cookie取得瀏覽器信息、自動增減執行緒(executing threads)、SRC服務器端包含功能、Script Encoder編碼保護等。
更具體的功能介紹請參見其它資料。

2 關閉沒有用的服務和協議
“盡量少開沒用到的服務”,這永遠是網絡安全的準則。如果開啟了某個
服務,你就要面對不少的漏洞困擾,更重要的是你還要時時提防未來的由這個服務所引起的漏洞。
比如,你不使用ftp,那就把FTP關了,不然你就要發費大量的精力
和金錢去應付那些什麼DOS,緩衝區溢出之類的漏洞。NETBIOS也是windows的一大安全隱患,我想目前服務器很少需要Netbios。再如你的IIS安裝了index server 服務,那你至少要面對三個以上的有關這個服務的漏洞,因此如果你沒用到INDEX SERVER服務,也大可刪除他.
同樣的道理,我們要安裝最少的協議。千萬不要安裝點對點通道
通訊協議。此外,還必須小心地配置TCP/IP協議。在TCP/IP的屬性頁中選擇“IP地址”項目,然後選擇“高級”。在彈出來的對話框中選擇“安全機制”,這樣你可以禁止UDP,然後開啟IP端口6和TCP端口80。當然開不開這些端口主要是看你的情況了。
IIS中的應用程序映射也是個很大的安全漏洞,請在IIS中設置好擴展名和可執行路徑,刪除沒用的擴展名。

3 設置好你的NT
NT缺省安裝時,系統賬號Administrator和Guest被自動設置,很多攻擊者就是利用這些賬號來猜密碼,從而進入你的系統。雖然沒有足夠的耐心,很難猜中這些密碼,但是為了安全起見,建議把這些賬號重新命名或者刪除。
NT SERVER的系統策略編輯器非常有用。按“管理工具”->“系統策略編輯器”就可以進入,然後選擇“文件”->“打開註冊表”,並選擇“本地計算機”圖標,就可以認真配置了。主要設置以下幾項:
1· 取消:網絡->系統規則更新->遠程更新
2· 取消:WINDOWS NT網絡->共享->創建隱藏的驅動器共享
3· 設置:Windows NT遠程訪問下面的各項
4· 設置:Windows NT系統->登錄中各個項目。包括設置登錄標記;不允許從“身份驗證對話框”關機;不顯示上次登錄的用戶名.
5· 設置:WINDOWS NT系統->文件系統中的“不為長文件名創建8.3文件名”
不要使用遠程管理軟件,除非不得已。由於NT不太支持遠程管理,所以你可能會安裝Reachout或者PC anywhere來管理。可是,當你安裝了這些軟件,你就不得不開啟TCP/IP的所有端口。
在你離開服務器的時候,請按”Ctrl+del+alt”,並選擇“鎖定工作站”。

4 磁盤文件格式使用比較安全的NTFS格式。
NTFS 權限是 Web 服務器安全性的基礎,它定義了一個或一組用戶訪問文件和目錄的不同級別。當擁有 Windows NT 有效帳號的用戶試圖訪問一個有權限限制的文件時,計算機將檢查文件的 訪問控制表 (ACL)。該表定義了不同用戶和用戶組 所被賦予的權限。例如,Web 服務器上的 Web 應用程序的所有者需要有“更改”權限來查看、更改和刪除應用程序的 .asp 文件。但是,訪問該應用程序的公共用戶應僅被授予“只讀”權限,以便將其限制為只能查看而不能更改應用程序的 Web 頁。

5 對目錄設置不同的屬性,如:Read、Excute、Script。
您可以通過配置您的 Web 服務器的權限來限制所有用戶查看、運行和操作您的ASP 頁的方式。不同於 NTFS 權限提供的控制特定用戶對應用程序文件和目錄的訪問方式, Web 服務器權限應用於所有用戶,並且不區分用戶帳號的類型。 對於要運行您的 ASP 應用程序的用戶,在設置 Web 服務器權限時,必須遵循下列原則:
對包含 .asp 文件的虛擬目錄允許“讀”或“腳本”權限。
對 .asp 文件和其他包含腳本的文件(如 .htm 文件等)所在的虛目錄允許“讀”和“腳本”權限。
對包含 .asp 文件和其他需要“執行”權限才能運行的文件(如 .exe 和 .dll 文件等)的虛目錄允許“讀”和“執行”權限。

6 維護 Global.asa 的安全
為了充分保護 ASP 應用程序,一定要在應用程序的 Global.asa 文件上為適當的用戶或用戶組設置 NTFS 文件權限。如果 Global.asa 包含向瀏覽器返回信息的命令而您沒有保護 Global.asa 文件,則信息將被返回給瀏覽器,即便應用程序的其他文件被保護。

7不要把密碼,物理路徑直接寫在程序中。
很難保證您的ASP程序是否會給人拿到,即使你安裝了最新的補丁。為
了安全起見,應該把密碼和用戶名保存在數據庫中,使用虛擬路徑。

8 在程序中記錄用戶的詳細信息.
這些信息包括用戶的瀏覽器、用戶停留的時間,用戶IP等。其中
記錄IP是最有用的。
可用下面的語句了解客戶端和服務端的信息:

<Table><%for each name in request.servervariables%>
<tr><td><%=name%>:</td>
<td><%=request.servervariables(name)%></td>
</tr>
<%next%></table>

如果我們可以記錄了用戶的IP,就能通過追捕來查用戶的具體地點。
當然如果用戶通過代理來瀏覽網頁,上面的方法只能看到用戶代理的IP,而不能記錄用戶真實的IP。ASP沒有提供查看客戶端網卡物理地址(即MAC)的功能。

9 Cookie 安全性
ASP 使用 SessionID cookie 跟蹤應用程序訪問或會話期間特定的 Web 瀏覽器的信息。這就是說,帶有相應的 cookie 的 HTTP 請求被認為是來自同一 Web 瀏覽器。Web 服務器可以使用 SessionID cookies 配置帶有用戶特定會話信息的 ASP 應用程序。例如,如果您的應用程序是一個允許用戶選擇和購買 CD 唱盤的聯機音樂商店,就可以用 SessionID 跟蹤用戶漫遊整個應用程序時的選擇。
SessionID 能否被黑客猜中?
為了防止計算機黑客猜中 SessionID cookie 並獲得對合法用戶的會話變量的訪問,Web 服務器為每個 SessionID 指派一個隨機生成號碼。每當用戶的 Web 瀏覽器返回一個 SessionID cookie 時,服務器取出 SessionID 和被賦予的數字,接著檢查是否與存儲在服務器上的生成號碼一致。若兩個號碼一致,將允許用戶訪問會話變量。這一技術的有效性在於被賦予的數字的長度(64 位),此長度使計算機黑客猜中 SessionID 從而竊取用戶的活動會話的可能性幾乎為 0。
加密重要的 SessionID Cookie.
截獲了用戶 sessionID cookie 的計算機黑客可以使用此 cookie 假冒該用戶。如果 ASP 應用程序包含私人信息,信用卡或銀行帳戶號碼,擁有竊取的 cookie 的計算機黑客就可以在應用程序中開始一個活動會話並獲取這些信息。您可以通過對您的 Web 服務器和用戶的瀏覽器間的通訊鍊路加密來防止 SessionID cook ie 被截獲。

10使用身份驗證機制保護被限制的 ASP 內容
可以要求每個試圖訪問被限制的 ASP 內容的用戶必須要有有效的 Windows NT帳號的用戶名和密碼。每當用戶試圖訪問被限制的內容時,Web 服務器將進行身份驗證,即確認用戶身份,以檢查用戶是否擁有有效的 Windows NT 帳號。
Web 服務器支持以下幾種身份驗證方式:
基本身份驗證 提示用戶輸入用戶名和密碼。
Windows NT 請求/響應式身份驗證,從用戶的 Web 瀏覽器通過加密方式獲取用戶身份信息。
然而,Web 服務器僅當禁止匿名訪問或 Windows NT 文件系統的權限限制匿名訪問時才驗證用戶身份。

11 保護元數據庫
訪問元數據庫的 ASP 腳本需要 Web 服務器所運行的計算機的管理員權限。在從遠程計算機上運行這些腳本時,須經已通過身份驗證的連接,如使用 Windows NT 請求/響應驗證方式進行連接。應該為管理級 .asp 文件創建一個服務器或目錄並將其目錄安全驗證方式設置為 Windows NT 請求/響應式身份驗證。目前,僅 Microsoft Internet Explorer version 2.0 或更高版本支持 Windows NT 請求響應式身份驗證。

12 使用 SSL 維護應用程序的安全
SSL (Secure Sockets Layer)協議是由Netscape首先發表的網絡資料安全傳輸協定,其首要目的是在兩個通信間提供秘密而可靠的連接。該協議由兩層組成,底層是建立在可靠的傳輸協議(例如:TCP)上的是SSL的記錄層,用來封裝高層的協議。SSL握手協議準許服務器端與客戶端在開始傳輸數據前,能夠通過特定的加密算法相互鑑別。SSL的先進之處在於它是一個獨立的應用協議,其它更高層協議能夠建立在SSL協議上。
SSL3.0 協議作為 Web 服務器安全特性,提供了一種安全的虛擬透明方式來建立與用戶的加密通訊連接。SSL 保證了 Web 內容的驗證,並能可靠地確認訪問被限制的 Web 站點的用戶的身份。
   通過 SSL,您可以要求試圖訪問被限制的 ASP 應用程序的用戶與您的服務器建立一個加密連接;以防用戶與應用程序間交換的重要信息被截取。
比如好多基於WEB的ASP論壇都會提供註冊用戶互相發送信息的服務,這種信息是明文傳送的,如果在網吧就很容易給人監聽到。如果加了一層SSL認證,就會防止發送信息被監聽的可能。

13 客戶資格認證
控制對您的 ASP 應用程序訪問的一種十分安全的方法是要求用戶使用 客戶資格登錄。客戶資格是包含用戶身份信息的數字身份證,它的作用與傳統的諸如護照或駕駛執照等身份證明相同。用戶通常從委託的第三方組織獲得客戶資格,第三方組織在發放資格證之前確認用戶的身份信息。(通常,這類組織要求姓名、地址、電話號碼及所在組織名稱;此類信息的詳細程度隨給予的身份等級而異。)
每當用戶試圖登錄到需要資格驗證的應用程序時,用戶的 Web 瀏覽器會自動向服務器發送用戶資格。如果 Web 服務器的 Secure Sockets Layer (SSL) 資格映射特性配置正確,那麼服務器就可以在許可用戶對 ASP 應用程序訪問之前對其身份進行確認。
作為 ASP 應用程序開發人員,您可以編寫腳本來檢查資格是否存在並讀取資格字段。例如,您可以從資格證明中訪問用戶名字段和公司名字段。Active Server Pages 在 Request 對象的 ClientCertificate 集合中保存資格信息。
必須將 Web 服務器配置為接受或需要客戶資格,然後才能通過 ASP 處理客戶資格;否則,ClientCertificate 集合將為空。

14 ASP的加密
由於ASP腳本是採用明文(plain text)方式來編寫的,所以應用開發商辛苦開發出來的ASP應用程序,一旦發佈到運行環境中去後,就很難確保這些“源代碼”不會被流傳出去。這樣就產生了如何有效地保護開發出來的ASP腳本源代碼的需求。
官方加密程序:從微軟免費下載到sce10chs.exe 直接運行即可完成安裝過程。安裝完畢後,將生成screnc.exe文件,這是一個運行在DOS PROMAPT的命令工具。
運行screnc ?? l vbscript source.asp destination.asp生成包含密文ASP腳本的新文件destination.asp用記事本打開看凡是“<%和%>"之內的,不管是否註解,都變成不可閱讀的密文了,但無法加密中文。
幾種ASP源代碼保護方法:
1,“腳本最小化”即ASP文件中只編寫盡可能少的源代碼,實現
商業邏輯的腳本部分被封裝到一個COM/DCOM組件,並在ASP腳
本中創建該組件,進而調用相應的方法(methed)即可。應用開發者
動手開發ASP腳本應用之前就可按此思路來開發,或者直接用ASP
腳本快速開發出原型系統後,針對需要保護、加密的重要腳本用
COM/DCOM組件來重新開發、實現並替換。
2,“腳本加密”即ASP腳本仍直接按源代碼方式進行開發,但在發佈到運行環境之前將腳本進行加密處理,只要把加密後的密文腳本發佈出去。即在ASP.DLL讀取腳本這個環節加入密文還原的處理。實現這種思路的方法有兩種:一是自行開發一個ISAPI的IIS過濾(filter)塊,在ASP.DLL之前勾連(hook)對ASP腳本文件的讀取,以便把文件系統讀出的密文還原成ASP.DLL可以解釋的明文;
方法二是直接由ASP.DLL提供對ASP腳本加密處理的支持。微軟在新版本的Vbscript.dll jscript.dll中提供這種成為MS script encode技術的支持。這樣,無論是客戶端的Vbscript jscript(包括WSH腳本等),還是服務器端的Vbscript jscript (即ASP腳本)都可以支持加密處理。
MS script encode 技術具體的實現思路包括以下兩個方面:一是
加密過程,通過提供一個實用程序對包含ASP腳本源代碼的文本文件
進行掃描,找出其標記為<script language = "vbscript.encode">或<script
language = "Jscript.encode">;二是還原過程,IE或ASP.DLL等執行
腳本時是統一通過Vbscript.dll jscript.dll來解釋執行的,所以它們都
能同時地、透明地支持明文和密文的腳本。
  總之,如果採用第一種思路,要麼就自行在開發過程中遵照進行,
要麼可以考慮選擇自動轉換成visual basic 編譯代碼的通用的、實用工具;採取第二種思路的化,要麼就自行開發IIS ISAPI過濾模塊,要麼可以考慮直接採用MS script encode軟件。

下面來看看一種ASP可以使用的簡單字符加密算法,而不是那些受限制的加密算法。其實,這堣雯衁漸[密算法對於一般的運用來說已經足夠解密人麻煩一陣子的了。它的加密基礎是最簡單的Vernum密碼方法,
它的基本原理是,需要有一個需要加密的明文和一個隨機生成的解密鑰匙文件。然後
使用這兩個文件組合起來生成密文。
(明文) 組合 (密鑰) = 加密後的密文
所以這堣雯衁漪O生成密鑰的代碼。我們假設我們生成的密鑰為512位長的密鑰,
它已經足夠來加密一個文本字符了。代碼如下:

KeyGeN.asp文件
<%
'******************************
' KeyGeN.asp
'******************************
Const g_KeyLocation = "C:\key.txt"
Const g_KeyLen = 512

On Error Resume Next

Call WriteKeyToFile(KeyGeN(g_KeyLen),g_KeyLocation)

if Err <> 0 Then
Response.Write "ERROR GENERATING KEY." & "<P>"
Response.Write Err.Number & "<BR>"
Response.Write Err.Description & "<BR>"
Else
Response.Write "KEY SUCCESSFULLY GENERATED."
End If

Sub WriteKeyToFile(MyKeyString,strFileName)
Dim keyFile, fso
set fso = Server.CreateObject("scripting.FileSystemObject")
set keyFile = fso.CreateTextFile(strFileName, true)
keyFile.WriteLine(MyKeyString)
keyFile.Close
End Sub

Function KeyGeN(iKeyLength)
Dim k, iCount, strMyKey
lowerbound = 35
upperbound = 96
Randomize ' Initialize random-number generator.
for i = 1 to iKeyLength
s = 255
k = Int(((upperbound - lowerbound) + 1) * Rnd + lowerbound)
strMyKey = strMyKey & Chr(k) & ""
next
KeyGeN = strMyKey
End Function

%>

在IIS下運行上面的KeyGeN.asp頁面。你只需要如此做一次,他將把密鑰寫入文件
c:\key.txt中 (如果你願意的話,你也可以把這個文件放到另外一個更加安全的地方).
然後你可以打開這個key.txt文件,它將包含512個ASCII碼在35到96之間的字符.
並且由於是隨機生成的,所以每個人的私人密鑰文件key.txt將是不一樣的,下面是
一個例子密鑰文件:

IY/;$>=3)?^-+7M32#Q]VOII.Q=OFMC`:P7_B;<R/8U)XFHC<SR_E$.DLG'=I+@5%*+OP:F_=';'NSY`-^S.`AA=BJ3M0.WF#T5LGK(=/<:+C2K/^7AI$;PU'OME2+T8ND?W$C(J\,;631'M-LD5F%%1TF_&K2A-D-54[2P,#'*JU%6`0RF3CMF0(#T07U'FZ=>#,+.AW_/+')DIB;2DTIA57TT&-]O'/*F'M>H.XH5W^0Y*=71+5*^`^PKJ(=E/X#7A:?,S>R&T;+B#<:-*\@)X9F`_`%QA3Z95.?_T#1,$2#FWW5PBH^*<))A(S0@AVD8C^Q0R^T1D?(1+,YE71X+.*+U$:3XO^Q).KG&0N0);[LJ<OZ6IN?7N4<GTL?(M'4S8+3JMK5)HC%^1^+K;\$WBXPA?F&5^E\D$7%*O/U[1/?8(5:1OVWV*1Z-%`:K&V?X1,1KURD@3W0^D)<OG40?(VJ4EWL5A5M<$A);CQ36R9I]*U#Q%1<Y\&SA%#1<V

下面再仔細分析一下上面的程序,我們發現其中的lowerbound和upperbound的數值
其實就是你想使用來加密的ASCII字符範圍。

下面的代碼將介紹如何使用這個密鑰來加密和解密一個字符串

Crypt.asp文件
<%
Dim g_Key

Const g_CryptThis = "Now is the time for all good men to come to the aid of their country."
Const g_KeyLocation = "c:\key.txt"

g_Key = mid(ReadKeyFromFile(g_KeyLocation),1,Len(g_CryptThis))

Response.Write "<p>ORIGINAL STRING: " & g_CryptThis & "<p>"
Response.Write "<p>KEY VALUE: " & g_Key & "<p>"
Response.Write "<p>ENCRYPTED CYPHERTEXT: " & EnCrypt(g_CryptThis) & "<p>"
Response.Write "<p>DECRYPTED CYPHERTEXT: " & DeCrypt(EnCrypt(g_CryptThis)) & "<p>"

Function EnCrypt(strCryptThis)
Dim strChar, iKeyChar, iStringChar, i
for i = 1 to Len(strCryptThis)
iKeyChar = Asc(mid(g_Key,i,1))
iStringChar = Asc(mid(strCryptThis,i,1))
' *** uncomment below to encrypt with addition,
' iCryptChar = iStringChar + iKeyChar
iCryptChar = iKeyChar Xor iStringChar
strEncrypted = strEncrypted & Chr(iCryptChar)
next
EnCrypt = strEncrypted
End Function

Function DeCrypt(strEncrypted)
Dim strChar, iKeyChar, iStringChar, i
for i = 1 to Len(strEncrypted)
iKeyChar = (Asc(mid(g_Key,i,1)))
iStringChar = Asc(mid(strEncrypted,i,1))
' *** uncomment below to decrypt with subtraction
' iDeCryptChar = iStringChar - iKeyChar
iDeCryptChar = iKeyChar Xor iStringChar
strDecrypted = strDecrypted & Chr(iDeCryptChar)
next
DeCrypt = strDecrypted
End Function

Function ReadKeyFromFile(strFileName)
Dim keyFile, fso, f
set fso = Server.CreateObject("Scripting.FileSystemObject")
set f = fso.GetFile(strFileName)
set ts = f.OpenAsTextStream(1, -2)

Do While not ts.AtEndOfStream
keyFile = keyFile & ts.ReadLine
Loop

ReadKeyFromFile = keyFile
End Function

%>
在Crypt.asp中我們首先從密鑰文件中得到密鑰值,然後從這段密鑰中
截取和我們需要加密的明文同樣長度的密鑰。然後使用一個簡單的異或操作
將明文和密鑰進行運算,那麼得到的結果就是加密後的密文了。過程很簡單的。
由於是使用了異或操作,所以解密將非常簡單,只要使用同樣的密鑰對密文
再次進行異或操作就能夠解密了。
在上面介紹的基礎上,你可以少加改動,就可以使用同樣的方法加密一個文件。
唯一需要注意的是,對於一個二進制文件,你需要做一些完整性檢查以保證轉換回來
的字符不要越界。
現在你需要做的就是把密鑰保存在服務器上的一個安全的地方(不能夠被外部訪問)

15 SQL SERVER的安全性
目前用ASP編寫的WEB應用中,後台數據庫大部分SQL SERVER。SQL SERVER相對來說比較安全。但是也要小心地配置SQL Server.
1安裝遠程數據庫管理有風險
SQL Server支持從遠程進行數據庫的維護。在安裝時你可以選擇不安裝,安裝完成以後,你還可以通過“SQL Server Network Utility”來刪除遠程管理。如果你要使用遠程管理,請使用TCP/IP,並將缺省的端口1433改變為其他的數值。使用遠程對你可能比較方便,便是請注意一個hacker只要知道你的SQL server密碼,就可以進入你的數據庫。
2 改變sa的密碼。
 缺省安裝時,SQL SERVER的sa賬號的密碼為空,建議你在Enterprise SERVER中,改變sa的密碼。
3 數據庫登錄賬號不要寫入ASP頁面中。
16 使用最新的掃描器掃描ASP漏洞
目前可以掃描IIS漏洞的掃描器有很多,比較有名的有ISS,CIS和gnit等。下面我們以GNIT為例子。
GNIT是個功能很強的漏洞掃描器,能掃描NT的用戶名和相關信息列表,掃描IIS的漏洞。
在WINNT的DOS模式下打下:
gnit <對方IP>
比如:gnit 172.1.1.1

GNIT開始掃描端口,從上圖可知目標主機提供了HTTP,FTP,SMTP等服務,掃描完後。會在GNIT目錄下生成一個HTML文件,其文件名是目標主機的IP。打開這個HTML文件,會看到對方主機的一些信息和漏洞。這些信息和漏洞包括:用戶名和組的相關詳細信息,開放的服務和WEB掃描的漏洞等。我們比較關心的是WEB掃描的漏洞信息:
下圖是GNIT的WEB掃描一些信息,其中加粗部分是漏洞,當然有些漏洞並不準確,但不妨試試。(有必要說明下,以下我是在一台NT4。01,IIS4。0,Option PACK6.0,並且缺省安裝)

 要測試這些漏洞很簡單。比如:可在URL輸入:
 http://someurl/iisadmpwd/aexp3.htr
??????可遠程管理IIS。

http://someurl/scripts/iisadmin/bdir.htr
????????目標主機的硬盤全部目錄都一覽無餘,並且有創建新目錄的功能(不過我在測試中,並不能創建遠程目錄,但是能使目標主機的WEB當機)
http://someurl/scripts/tools/getdrvrs.exe
 ----可在遠程主機上創建ODBC數據庫,不管數據庫路徑和數據庫是否存在。

 
此外還有其它的漏洞,請網友自己測試。其解決方法請看上面的漏洞分析。
如果用CIS掃描器,還有比較詳細的漏洞分析和解決方法。請讀者自己分析。
七、總結
  目前WEB數據庫訪問的多種技術中,比如CGI(通用網關接口)、JDBC、PHP、ASP,ASP以其開發周期短,存取方式數據庫簡單,運行速度快而成為眾多網站程序員的首選開發技術。
但是其網絡安全性也是不容忽視的。做為一個ASP開發者,你必須關注NT和IIS的安全漏洞,從上面的討論我們可以看到ASP的很多漏洞都是由IIS所引起的。同時ASP程序員在開發自己的網站時,要注意來自ASP程序設計不當所引發的安全問題。
八、聲明
本文中某些例子是從其它網站上整理的,因時間緊迫,未來得及通知作者,請見諒!

小鳥 (songniao@163.net)
傲氣雄鷹網絡安全新乾線(http://www.safefan.com)



頂端
本網頁最佳瀏覽模式為:瀏覽器 IE4.0 以上    解析度: 800 x 600
Copyright © 2000-2020 COOLASP All Rights Reserved