用IIS+ASP建網站的安全性分析

用IIS+ASP建網站的安全性分析

隨著Internet的發展，Web技術日新月異，人們已經不再滿足於靜態HTML技術，更多的是要求動態、交互的網路技術。繼通用網關介面（CGI）之後，微軟推出的IIS+ASP的解決方案作為一種典型的伺服器端網頁設計技術，被廣泛應用在網上銀行、電子商務、網上調查、網上查詢、BBS、搜索引擎等各種互聯網應用中。與此同時，Access資料庫作為微軟推出的以標準JET為引擎的桌面型資料庫系統，由於具有操作簡單、界面友好等特點，具有較大的用戶群體。目前，IIS+ASP+Access是中小型Internet網站的首選方案。但是，該解決方案在為我們帶來便捷的同時，也帶來了嚴峻的安全問題。
一、安全隱患分析
IIS+ASP+Access解決方案的主要安全隱患來自Access資料庫的安全性，其次在於ASP網頁設計過程中的安全意識和措施。
1．資料庫可能被下載
在IIS+ASP+Access網站中，如果有人通過各種方法獲得或者猜到資料庫的存儲路徑和文件名，則該資料庫就可以被下載到本地。例如：對於網上書店資料庫，一般命名為book.mdb、store.mdb等，存儲路徑一般為「URL/database」或放在根目錄「URL/」下，這樣，任何人敲入地址：「URL/database/store.mdb」， 資料庫就可以被下載了。
2．資料庫可能被解密
由於Access資料庫的加密機制比較簡單，即使設置了密碼，解密也很容易。該資料庫系統通過將用戶輸入的密碼與某一固定密鑰（例如： Access 97為86 FB EC 37 5D 44 9C FA C6 5E 28 E6 13）進行「異或」來形成一個加密串，並將其存儲在*.mdb文件從地址「&H42」開始的區域內。我們可以輕鬆地編製解密程序，一個幾十行的小程序就可以輕鬆地獲得任何Access資料庫的密碼。因此，只要資料庫被下載，其信息就沒有任何安全性可言了。
3．ASP頁面的安全性
（1）源代碼安全性隱患。由於ASP程序採用非編譯性語言，大大降低了程序源代碼的安全性。如果黑客侵入站點，就可以獲得ASP源代碼；同時對於租用伺服器的用戶，因個別伺服器出租商的職業道德問題，也會造成ASP應用程序源代碼泄露。
（2）程序設計中容易被忽視的安全性問題。ASP代碼使用表單實現交互，而相應的內容會反映在瀏覽器的地址欄中，如果不採用適當的安全措施，只要記下這些內容，就可以繞過驗證直接進入某一頁面。例如在瀏覽器中敲入「...page.asp?x=1」，即可不經過表單頁面直接進入滿足「x=1」條件的頁面。因此，在驗證或註冊頁面中，必須採取特殊措施來避免此類問題的產生。
二、提高IIS+ASP網站安全性的方法
1．防止資料庫被下載
由於Access資料庫加密機制過於簡單，有效地防止資料庫被下載，就成了提高ASP+Access解決方案安全性的重中之重。以下兩種方法簡單、有效。
（1）非常規命名法。為Access資料庫文件起一個複雜的非常規名字，並把它放在幾個目錄下。例如，對於網上書店的資料庫，我們不把它命名為「book.mdb」或「Store.mdb」，而是起個非常規的名字，例如：faq9jl.mdb，再把它放在如./akkt/kj61/acd/av5 的幾層目錄下，這樣黑客想通過猜的方式得到Access資料庫文件名就很難了。
（2）使用ODBC數據源。在ASP程序設計中，如果有條件，應盡量使用ODBC數據源，不要把資料庫名寫在程序中，否則，資料庫名將隨ASP源代碼的失密而一同失密，例如：
DBPath = Server.MapPath(「./akkt/kj61/acd/av5/faq9jl.mdb 」)
conn.open 「driver={Microsoft Access Driver (*.mdb)};dbq=」& DBPath
可見，即使資料庫名字起得再怪異，隱藏的目錄再深，ASP源代碼失密后，也很容易被下載下來。如果使用ODBC數據源，就不會存在這樣的問題了：
conn.open 「ODBC-DSN名」
2．對ASP頁面進行加密
為有效地防止ASP源代碼泄露，可以對ASP頁面進行加密。我們曾採用兩種方法對ASP頁面進行加密。一是使用組件技術將編程邏輯封裝入DLL之中；二是使用微軟的Script Encoder對ASP頁面進行加密。使用組件技術存在的主要問題是每段代碼均需組件化，操作比較繁瑣，工作量較大，而使用Encoder對ASP頁面進行加密，操作簡單、收效良好。Script Encoder的運行程序是SCRENC.EXE，使用方法是：
SCRENC inputfile outputfile
其中：/s 是屏蔽屏幕輸出；/f 指定輸出文件是否覆蓋同名輸入文件；/xl 指是否在.asp文件的頂部添加@Language指令；/l defLanguag指定預設的腳本語言; /e defExtension 指定待加密文件的擴展名。
3．註冊驗證
為防止未經註冊的用戶繞過註冊界面直接進入應用系統，我們採用Session對象進行註冊驗證。例如，我們製作了下面的註冊頁面。
設計要求註冊成功后系統啟動hrmis.asp?page=1頁面。假設，不採用Session對象進行註冊驗證，則用戶在瀏覽器中敲入「URL/hrmis.asp?page=1」即可繞過註冊界面，直接進入系統。
在此，利用Session對象進行註冊驗證：
＜%
』讀取使用者所輸入的賬號和密碼
UserID = Request(「UserID」)
Password = Request(「Password」)
』檢查UserID 及Password 是否正確
If UserID ＜＞「hrmis」 Or Password ＜＞「password」 Then
Response.Write 「賬號錯誤！」
Response.End
End If
』將Session 對象設置為通過驗證狀態
Session(「Passed」) = True
%＞
進入應用程序后，首先進行驗證：
＜%
』如果未通過驗證，返回Login狀態
If Not Session(「Passed」) Then
Response.Redirect 「Login.asp」
End If
%＞
通過對IIS+ASP+Access網上應用系統安全性的研究，我們對現有系統進行了改造，收到了較好的效果。

Tags: