ASP网站设计安全性讨论论文 论文关键词:ASP;黑客攻击;SQL 注入;安全漏洞;木马后门 论文摘要:网络上的动态网站以 ASP 为多数,我们学校的网站也是 ASP 的。笔者作为学校网站的制作和维护人员,与 ASP 攻击的各种现象斗争了多次,也对网站进行了一次次的修补,根据工作经验,就 ASP 网站设计常见安全漏洞及其防范进行一些探讨。本文结合 ASP 动态网站开发经验,对 ASP 程序设计存在的信息安全隐患进行分析,讨论了 ASP 程序常见的安全漏洞,从程序设计角度对WEB 信息安全及防范提供了参考。 1 网络安全总体状况分析 2025 年 1 月至 6 月期间,半年时间内,CNCERT/CC 接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和 12.5%。 从 CNCERT/CC 掌握的半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采纳不同的攻击手段,且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采纳篡改网页的攻击形式,也不排除放置恶意代码的可能。对中小企业,尤其是以网络为核心业务的企业,采纳有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索,影响企业正常业务的开展。对于个人用户攻击者更多的是通过用户身份窃取等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产。 2 用 IIS+ASP 建网站的安全性分析 微软推出的 IIS+ASP 的解决方案作为一种典型的服务器端网页设计技术,被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是,该解决方案在为我们带来便捷的同时,也带来了严峻的安全问题。本文从 ASP 程序设计角度对 WEB 信息安全及防范进行分析讨论。 3SP 安全漏洞和防范 3.1 程序设计与脚本信息泄漏隐患 bak 文件。攻击原理:在有些编辑 ASP 程序的工具中,当创建或者修改一个 ASP 文件时,编辑器自动创建一个备份文件,假如你没有删除这个 bak 文件,攻击者可以直接下载,这样源程序就会被下载。 防范技巧:上传程序之前要认真检查,删除不必要的文档。对以 BAK 为后缀的文件要特别小心。 inc 文件泄露问题。攻击原理:当存在 ASP 的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。假如这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。 防范技巧:程...
