网站建设公司详解asp语言建站关于ASP文件安全设置方案。网站建设关于ASP文件及设置的安全与否直接关系到网站的安全。网站建设公司下面重点讨论ASP在安全方面要注意的问题。
(1)维护Global.asa的安全。为了充分保护ASP应用程序,一定要在应用程序的Global.asa文件上为适当的用户或用户组设置文件权限。如果 Global.asa 包含向浏览器返回信息的命令而没有保护 Global.asa 文件,则信息将被返回给浏览器。
(2)不要把密码、物理路径直接写在ASP文件中。因为很难保证ASP程序是否会被人拿到,即使安装了最新的补丁。为了安全起见,应该把密码和用户名保存在数据库中,使用虚拟路径。
(3)在程序中记录用户的详细信息。这些信息包括用户的浏览器、用户停留的时间、用户IP等。其中记录IP是最有用的。
可用下面的语句了解客户端和服务器的信息:
如果记录了用户的IP,就能够通过追捕来查明用户的具体地点。
(4)Cookie 安全性。ASP使用SessionID cookie 跟踪应用程序访问或会话期间特定的Web 浏览器的信息。这就是说,带有相应的cookie的HTTP请求被认为是来自同一Web浏览器。Web服务器可以使用SessionID cookie配置带有用户特定会话信息的ASP应用程序。为了防止计算机黑客猜中SessionID cookie并获得对合法用户的会话变量的访问,Web服务器为每个SessionID指派一个随机生成号码。每当用户的 Web 浏览器返回一个SessionID cookie时,服务器取出SessionID和被赋予的数字,接着检查是否与存储在服务器上的生成号码一致。若两个号码一致,将允许用户访问会话变量。这一技术的有效性在于被赋予的数字的长度(64位),此长度使计算机黑客猜中SessionID,从而窃取用户活动会话的可能性几乎为零。
如果ASP应用程序包含私人信息、信用卡或银行账户号码,拥有窃取cookie的计算机黑客可以在应用程序中开始一个活动会话并获取这些信息。为了防止截获用户SessionIDcookie的计算机黑客,可以使用此cookie假冒该用户,通过对Web服务器和用户浏览器间的通信链路加密来防止SessionID cookie被截获。
(5)使用身份验证机制保护被限制的ASP内容。可以要求每个试图访问被限制的ASP内容的用户必须要有有效的用户名和密码。每当用户试图访问被限制的内容时,Web服务器将进行身份验证,即确认用户身份。
Web服务器支持以下几种身份验证方式。
①基本身份验证,提示用户输入用户名和密码。
②Windows NT请求/响应式身份验证,从用户的Web浏览器通过加密方式获取用户身份信息。然而,Web 服务器仅当禁止匿名访问或Windows NT文件系统的权限限制匿名访问时才验证用户。
(6)使用SSL维护应用程序的安全。SSL(Secure Sockets Layer)协议是由Netscape首先发表的网络资料安全传输协定,其首要目的是在两个通信间提供秘密而可靠的连接。该协议由两层组成,底层是建立在可靠的传输协议(如TCP)上的SSL的记录层,用来封装高层的协议。SSL握手协议准许服务器与客户端在开始传输数据前,能够通过特定的加密算法相互鉴别。SSL的先进之处在于它是一个独立的应用协议,其他更高层协议能够建立在SSL协议上。
SSL3.0 协议作为Web服务器安全特性,提供了一种安全的虚拟透明方式来建立与用户的加密通信连接。SSL保证了Web内容的验证,并能可靠地确认访问被限制的Web站点的用户身份。
通过SSL可以要求试图访问被限制的 ASP 应用程序的用户与服务器建立加密连接,以防止用户与应用程序间交换的重要信息被截取。如许多基于Web的ASP论坛都提供注册用户互相发送信息的服务,这种信息是明文传送的,在网吧很容易被人监听到。如果加了一层SSL认证,就能防止发送信息被监听的可能。
(7)客户资格认证。控制对ASP应用程序访问的安全方法是要求用户使用客户资格登录。客户资格是包含用户身份信息的数字身份证,它的作用与传统的诸如护照或驾驶执照等身份证明的作用相同。用户通常从委托的第三方组织获得客户资格。第三方组织在发放资格证之前确认用户的身份信息(通常这类组织要求提供姓名、地址、电话号码及所在组织名称,此类信息的详细程度因给予的身份等级而异)。
每当用户试图登录到需要资格验证的应用程序时,用户的Web浏览器就会自动向服务器发送用户资格。如果 Web 服务器的 Secure Sockets Layer(SSL)资格映射特性配置正确,服务就可以在许可用户对ASP应用程序访问之前对其身份进行确认。可以从资格证明中访问用户名字段和公司名字段,Active Server Pages在Request对象的ClientCertificate集合中保存资格信息。必须将Web服务器配置为接受或需要客户资格,然后才能通过ASP处理客户资格。否则,ClientCertificate 集合将为空。
(8)ASP的加密。由于ASP脚本是采用明文方式编写的,所以开发出来的ASP应用程序一旦发布到运行环境中后,就很难确保这些“源代码”不会被流传。这样就产生了如何有效地保护开发出来的ASP脚本源代码的需求。
网站建设公司资深安全工程师下面介绍几种ASP源代码保护方法。
①官方加密程序。从微软网站上下载screnc.exe文件对ASP文件进行加密。
②“脚本最小化”,即ASP文件中只编写尽可能少的源代码,实现商业逻辑的脚本部分被封装到一个COM/DCOM组件,并在ASP脚本中创建该组件,进而调用相应的方法(methed)即可。应用开发者开发ASP脚本应用之前即可按此思路来开发,或者直接用ASP脚本快速开发出原型系统后,针对需要保护、加密的重要脚本用COM组件来重新开发、实现并替换。
③“脚本加密”,即ASP脚本仍直接按源代码方式进行开发,但在发布到运行环境之前将脚本进行加密处理,把加密后的密文脚本发布出去,在ASP.DLL读取脚本环节加入密文还原的处理。
(9)防止SQL注入式漏洞。SQL语言是操作数据库的标准语言,在ASP文件编写中应有相应代码防止此类漏洞。
好了,
深圳网站建设公司本文关于“网站建设公司详解asp语言建站关于ASP文件安全设置方案”就分享到这里。如果您需要深圳网站建设的公司为您搭建设计高端动态网站,请咨询我们网站在线客服或者拨打我们建站技术客服联系电话,为您提供详细的高端动态网站建设以及安全维护解决方案。谢谢关注,博纳网络编辑整理。
