网站建设公司详解ASP语言网站的安全设置注意事项。深圳网站建设公司提醒随着互联网的不断发展,企业对于网站的要求也越来越高,越来越多的企业倾向于高端网站建设,一般的展示型企业网站建设已经不能满足当前客户的需求了,简介大气的高端网站建设才是现在企业的首选。对于高端网站建设价格高的问题,深圳网站建设公司认为这与网站开发使用的语言以及程序、服务器的安全设置有很大关系。接下来时网站建设公司资深工程师为大家简单介绍一下。
网站建设公司公司论关于ASP文件安全设置
网站建设公司公司论关于ASP文件安全设置
ASP文件及设置的安全与否直接关系到网站的安全。本节重点讨论ASP在安全方面要注意的问题。
(1)维护Global.asa的安全。为了充分保护ASP应用程序,一定要在应用程序的Global.asa文件上为适当的用户或用户组设置文件权限。如果Global.asa 包含向浏览器返回信息的命令而没有保护 Global.asa 文件,则信息将被返回给浏览器。
(2)不要把密码、物理路径直接写在ASP文件中。很难保证ASP程序是否会被人拿到,即使安装了最新的补丁。为了安全起见,应该把密码和用户名保存在数据库中,使用虚拟路径。
(3)在程序中记录用户的详细信息。这些信息包括用户的浏览器、用户停留的时间、用户IP等。其中记录IP是最有用的。
可用下面的语句了解客户端和服务端的信息:
如果记录了用户的IP,就能够通过追捕来查用户的具体地点。
(4)Cookie 安全性。ASP使用SessionID cookie 跟踪应用程序访问或会话期间特定的Web 浏览器的信息。这就是说,带有相应的cookie的HTTP请求被认为是来自同一Web浏览器。Web服务器可以使用SessionID cookies配置带有用户特定会话信息的ASP应用程序。为了防止计算机黑客猜中SessionID cookie并获得对合法用户的会话变量的访问,Web服务器为每个SessionID指派一个随机生成号码。每当用户的 Web 浏览器返回一个SessionID cookie时,服务器取出SessionID和被赋予的数字,接着检查是否与存储在服务器上的生成号码一致。若两个号码一致,将允许用户访问会话变量。这一技术的有效性在于被赋予的数字的长度(64位),此长度使计算机黑客猜中SessionID,从而窃取用户的活动会话的可能性几乎为零。
如果ASP应用程序包含私人信息、信用卡或银行账户号码,拥有窃取的cookie的计算机黑客可以在应用程序中开始一个活动会话并获取这些信息。为了防止截获用户SessionID cookie的计算机黑客,可以使用此cookie假冒该用户,通过对Web服务器和用户的浏览器间的通信链路加密来防止SessionID cookie被截获。
(5)使用身份验证机制保护被限制的ASP内容。可以要求每个试图访问被限制的ASP内容的用户必须要有有效的用户名和密码。每当用户试图访问被限制的内容时,Web服务器将进行身份验证,即确认用户身份。
Web服务器支持以下几种身份验证方式:
①基本身份验证提示用户输入用户名和密码。
②Windows NT 请求/响应式身份验证,从用户的Web浏览器通过加密方式获取用户身份信息。然而,Web 服务器仅当禁止匿名访问或Windows NT文件系统的权限限制匿名访问时才验证用户。
(6)使用SSL维护应用程序的安全。SSL(Secure Sockets Layer)协议是由Netscape首先发表的网络资料安全传输协议,其首要目的是在两个通信间提供秘密而可靠的连接。该协议由两层组成,底层是建立在可靠的传输协议(如TCP)上的,是SSL的记录层,用来封装高层的协议。SSL握手协议准许服务器端与客户端在开始传输数据前,能够通过特定的加密算法相互鉴别。SSL的先进之处在于它是一个独立的应用协议,其他更高层协议能够建立在SSL协议上。
SSL3.0 协议作为Web服务器安全特性,提供了一种安全的虚拟透明方式来建立与用户的加密通信连接。SSL保证了Web内容的验证,并能可靠地确认访问被限制的Web站点的用户的身份。
通过SSL可以要求试图访问被限制的 ASP 应用程序的用户与服务器建立加密连接,以防用户与应用程序间交换的重要信息被截取。如好多基于Web的ASP论坛都提供注册用户互相发送信息的服务,这种信息是明文传送的,在网吧很容易被人监听到。如果加了一层SSL认证,会防止发送信息被监听的可能。
(7)客户资格认证。控制对ASP应用程序访问的安全方法是要求用户使用客户资格登录。客户资格是包含用户身份信息的数字身份证,它的作用与传统的诸如护照或驾驶执照等身份证明相同。用户通常从委托的第3方组织获得客户资格。第3方组织在发放资格证之前确认用户的身份信息(通常这类组织要求姓名、地址、电话号码及所在组织名称,此类信息的详细程度视给予的身份等级而异)。
每当用户试图登录到需要资格验证的应用程序时,用户的Web浏览器会自动向服务器发送用户资格。如果 Web 服务器的 Secure Sockets Layer(SSL)资格映像特性配置正确,服务就可以在许可用户对ASP应用程序访问之前对其身份进行确认。可以从资格证明中访问用户名字段和公司名字段,Active Server Pages在Request对象的ClientCertificate集合中保存资格信息。必须将Web服务器配置为接受或需要客户资格,然后才能通过ASP处理客户资格。否则,ClientCertificate 集合将为空。
(8)ASP的加密。由于ASP脚本是采用明文方式来编写的,所以开发出来的ASP应用程序一旦发布到运行环境中去后,很难确保这些“源代码”不会被流传。这样就产生了如何有效地保护开发出来的ASP脚本源代码的需求。
下面介绍几种ASP源代码保护方法。
①官方加密程序:从微软网站下载screnc.exe文件对ASP文件进行加密。
②“脚本最小化”:即ASP文件中只编写尽可能少的源代码,实现商业逻辑的脚本部分被封装到一个COM/DCOM组件,并在ASP脚本中创建该组件,进而调用相应的方法(methed)即可。应用开发者开发ASP脚本应用之前就可按此思路来开发,或者直接用ASP脚本快速开发出原型系统后,针对需要保护、加密的重要脚本用COM组件来重新开发、实现并替换。
③“脚本加密”:即ASP脚本仍直接按源代码方式进行开发,但在发布到运行环境之前将脚本进行加密处理,只要把加密后的密文脚本发布出去,即在ASP.DLL读取脚本环节加入密文还原的处理。
(9)防止SQL注入式漏洞。SQL语言是操作数据库的标准语言,在ASP文件编写中应有相应代码防止此类漏洞。好了,深圳网站建设公司本文关于“网站建设公司详解ASP语言网站的安全设置注意事项”知识就分享到这里。如果您需要联系深圳网站建设公司为您定制开发aspx语言高端网站订制建设服务,请联系我们网站在线客服或者拨打我们网站建站技术客服电话,为您提供详细的深圳高端网站建设语言与网站服务器安全的解决方案。谢谢关注,博纳网络编辑整理。
当前文章链接:/construction/fach/14959.html
如果您觉得案例还不错请帮忙分享:
[声明]本网转载网络媒体稿件是为了传播更多的信息,此类稿件不代表本网观点,本网不承担此类稿件侵权行为的连带责任。故此,如果您发现本网站的内容侵犯了您的版权,请您的相关内容发至此邮箱【qin@198bona.com 】,我们在确认后,会立即删除,保证您的版权。