浅谈ＡＳＰ技术的安全.doc

浅谈ＡＳＰ技术的安全.doc浅谈ASP技术的安全
摘要:本文对asp技术及用asp技术的web服务器的安 全问题进行分析和企业构建自己网上信息系统的首选方案。 虽然asp具有快速开发能力，但asp也存在很多不容忽视的 安全漏洞。
—、asp程序设计安全技术
asp程序设计的安全主要涉及三个方面：asp源代码的 安全、asp程序设计的安全和数据库安全。
源代码的安全：
保证asp源码的安全的主要技术是asp脚本加密技术。 常用方法有两种：一是asp2dll技术。其基本思想是利用提 供的ac tivexdll对象将asp代码进行封装，编译为d II文件， 在asp程序中调用该dll文件。二是利用微软提供的script encoder加密软件对a sp页面进行加密。
置合适的脚本映射。应用程序的脚本映射保证了 web服 务器不会意外地下载asp文件的源代码，但不安全或有错误 的脚本映射易导致asp源代码泄漏。因此，应将用不到的有 一定危险性的脚本映射删掉。
•程序设计中的安全
用户名、口令机制。用户名、口令是最基本的安全技术， 在asp中常采用form表单提交用户输入的帐号和密码,与
用户标识数据库中相应的字段进行匹配，在必要的场合可以 使用md5算法来加密用户输入的密码，可以保证在线路被窃 听的情况下依然保证数据的安全，保护用户口令的安全。
注册验证。为了网站资源的安全性和易于管理，可以对 用户进行分级，给定权限，使特定用户访问特定的资源群， 也可以阻止未授权用户使用网站的资源，这就需要对用户进 行注册验证操作olOCalhost在asp中 我们可以利用session 对象和http头信息来实现此类安全控制。当访问者通过身份 验证页面后,就把ses sion对象的sessionid属性作为一个 ses sion变量存储起来，当访问者试图导航到一种有效链接 的页面时，可将当前的sessionid与存储在s ession对象中 的id进行比较,如果不匹配，则拒绝访问。如在session中 保存着第一次链接的 se ssionid ,session("id") then %>'拒绝 访问。
网页过期管理。考虑到有可能用户在使用网页的过程 中，有可能会长时间离开计算机处理别的事情，这样会给别 有用心的人有可乘之机，所以应该给网页一个过期时间。这 样不仅保证了用户的安全，也可以减少服务器的链接数，减 少服务器压力。可以使用二时间，过了这么长时间网页就失 效了 ,前提是你用一个s ession值来判断登录状态如=20。
页面缓冲管理：页面缓冲可以加快网站的浏览速度，但 也会给非法用户提供了越权浏览的机会。因此，重要的web
页面必须禁止页面缓存，强制浏览器每次向web服务器请求 新页面。利用asp的response对象的expires属性和clear 方法可解决此问题。具体设置:=,expires表示缓存页面的有 效期,0表示立即过期，clear表示清空缓冲区。
程序错误管理：错误的执行参数和意外的执行过程，都 可以导致页面出现错误提示，而这些错误提示会提供给别人 很多网站的信息，比如使用数据库的类型，表中所含字段的 名称等等。会造成程序的不安全。所以在编程过程中要注意 对异常数据的处理和意外事件的控制，才能保证网站的安全 性。
.数据库的安全。
a