分享
 
 
 

ASP中服务器端安全性验证研究(初级)

王朝asp·作者佚名  2006-01-09
窄屏简体版  字體: |||超大  

黑客攻击一个网站,最快捷的手段,往往是利用CGI的脚本漏洞,注入数据库语句,直接进入网站,效果相当好。如果一个网站登录被攻破,里面的资料将一览无遗,对存有重要资料的网站来说,这将是毁灭性的。

asp已在网上流行了很久,但是安全性仍然很差,现在琴客根椐自已的实践,谈谈如何对登陆表单进行安全验证,很多初学者喜欢用客户端进行验证,这对稍懂网页设计知识的人来说,简直形同虚设,所以我们要在服务器端进行验证,以下方法虽然是针对ASP脚本的,但实际对大多数交互式脚本都适用的,只是ASP最为突出罢了。

1、对填写格式进行验证。

要求数字的,就要验证所填内容是否是数字;电子邮件格式的,就有电子邮件的填写常规。要求必填项的,要验证是否为空。这是很基本的安全性验证,或者说有点安全性的脚本,但实际上仍然是不安全的。

2、对字符长度进行限制,不能太短,也不能太长。

如果不限字符填写长度,轻者影响网站美观,重者将会对网站造成不可预见的安全隐患,有时会造成系统的崩溃,这有点象溢出攻击的味道了。如果填写者填写非常长的内容,超出服务器所能处理的长度,这就非常危险了。对于有数据库支持的网站,特别是ACCESS小数据库,超出字段长度,就会返回出错信息,而这些出错信息,往往暴露出数据库路径,黑客就会利用数据库盗取资料。结果是不可想象的。

利用len函数计算填写长度,超出预定长度,服务器停止执行(response.End),或者只取前面的字符。

3、提交内容中禁用特殊字符,HTML、DHTML、JS、VB脚本,并防止数据库注入

因为这些脚本和字符,往往是ASP脚本可执行的字符,这样提交表单的同时,服务器执行提交的文本,非常危险!

在以前一些论坛和聊天室里,恶作剧者会使用html和JS代码,让访问者电脑上开无数个窗口,导致崩溃!还有可能盗取密码,运行"混客绝情炸弹"类似的程序,你说可不可怕?呵呵。。。好在这只是客户端受攻击,最可怕的还是服务端的安全性。

黑客经常会用特殊字符的漏洞,进入网站。一个典型的例子就是使用[=name" or "name<>123]这种语法骗过服务器,让数据库执行SQL语句。

我们要禁止访客使用以上字符,用去除,替换等方法解决,很多论坛使用UBB代码,这是不错的选择。

4、限制错误登入的次数。这种方法琴客称之为"蜗牛式保护系统"

这是银行、电信等部门最惯用的安全防范手法了。由于历史的原因,这些部门常常用小于6位数的数字做密码,这在网络时代简真是太脆弱了,随便一台电脑,只要很短的时间就能跑完所有密码。所以他们使用了"蜗牛式保护系统"的方法。只要输错3次密码,卡就不能提款了,只要输错3次密码,手机的SIM卡自动锁住。我们在设计ASP交互网站时,可以使用这种方式。只要超过限定的次数,相关帐号就不能使用。防止攻击者使用软件跑密码,进入网站。

5、使用随机附加码验证

这种方法主要也是防止跑密码,将密码验证多了一个动态密码验证。使用RND函数生成,并用SESSION验证,这样才会安全,不要使用hidden表单。现在这种方法验证密码的网站越来越多了。

6、限制操作的时间

有时操作者进入网站以后,忘了关窗口,这样就会被其他操作者非法进入系统。使用操作时间限制,可以防止这种情况,时间超时后,网站各项服务就终止了。在ASP中使用SESSION实现。

7、使用访问来路验证

这样可以防止防问者在自已网站或电脑上生成SESSION骗过安全验证。非正常页面的请求将不被执行。

8、进行日志管理,记录操作者的操作。

记录操作者的操作,这样可以随时修补漏洞。

9、对数据库、路径、脚本加密,禁用不安全组件,修补系统安全漏洞。

这虽然不是提交表单的安全问题,便是与安全漏洞显然是密不可分的。这种方法很多,不再祥述。

10、防止后退或浏览器缓存网页内容。

与第6点类似,防止操作浏览的内容被非法操作者通过后退查看网站的内容。可以设置成每次后退重新读取服务器。

11、不要在网上链接重要内容。

有些搜索引擎机器人会将重要页面缓存在引擎中,这样就等于向全世界的访客敞着大门。不过现在一些引擎类似黑客程序一样从服务器"偷取"信息,这样防不胜防,由此也出现了防止被搜索引擎搜到的公司提供这类的服务。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有