ASP教程之保护 ASP 使用程序的平安
源代码保护方面其实现在考虑得没那么多了..NET也可以反编译.ASP写得复杂的话别人能看得懂的话.他也有能力自己写了.这方面担心的倒不太多.纵观现在网上可以下载的那些所谓BBS还有什么网站等等的源代码平安|程序万万不要不放在眼里准确设置平安设置的主要性。假如不准确设置平安设置,不仅会使您的ASP使用程序蒙受不用要的改动,并且会妨害合法用户会见您的.asp文件。
Web服务器供应了各类办法来回护您的ASP使用程序免受未受权的会见和改动。在您读完本主题下的平安信息以后,请花必定的工夫细心反省一下您的WindowsNT和Web服务器平安性文档。
NTFS权限
您能够经由过程为独自的文件和目次使用NTFS会见权限来回护ASP使用程叙文件。NTFS权限是Web服务器平安性的基本,它界说了一个或一组用户会见文件和目次的分歧级别。当具有WindowsNT无效帐号的用户试图会见一个有权限限定的文件时,盘算机将反省文件的会见把持表(ACL)。该表界说了分歧用户和用户组所被付与的权限。假如用户的帐号具有翻开文件的权限,盘算机则同意该用户会见文件。比方,Web服务器上的Web使用程序的一切者必要有“变动”权限来检察、变动和删除使用程序的.asp文件。可是,会见该使用程序的大众用户应仅被授与“只读”权限,以便将其限定为只能检察而不克不及变动使用程序的Web页。
保护Global.asa的平安
为了充实回护ASP使用程序,必定要在使用程序的Global.asa文件上为得当的用户或用户组设置NTFS文件权限。假如Global.asa包括向扫瞄器前往信息的命令而您没有回护Global.asa文件,则信息将被前往给扫瞄器,即使使用程序的其他文件被回护。
注重 必定要对使用程序的文件使用一致的NTFS权限。比方,假如您不当心过分限定了一使用程序必要包括的文件的NTFS权限,则用户大概没法检察或运转该使用程序。为了避免此类成绩,在为您的使用程序分派NTFS权限之前应细心企图。
Web服务器权限
您能够经由过程设置您的Web服务器的权限来限定一切用户检察、运转和操纵您的ASP页的体例。分歧于NTFS权限供应的把持特定用户对使用程叙文件和目次的会见体例,Web服务器权限使用于一切用户,而且不辨别用户帐号的范例。
关于要运转您的ASP使用程序的用户,在设置Web服务器权限时,必需遵守以下准绳:
对包括.asp文件的假造目次同意“读”或“剧本”权限。
对.asp文件和其他包括剧本的文件(如.htm文件等)地点的虚目次同意“读”和“剧本”权限。
对包括.asp文件和其他必要“实行”权限才干运转的文件(如.exe和.dll文件等)的虚目次同意“读”和“实行”权限。
剧本映照文件
使用程序的剧本映照包管了Web服务器不会心外埠下载.asp文件的源代码。比方,即便您为包括了某个.asp文件的目次设置了“读”权限,只需该.asp文件从属于某个剧本映照使用程序,那末您的Web服务器就不会将该文件的源代码前往给用户。
Cookie平安性
ASP利用SessionIDcookie跟踪使用程序会见或会话时代特定的Web扫瞄器的信息。这就是说,带有响应的cookie的HTTP哀求被以为是来自统一Web扫瞄器。Web服务器可使用SessionIDcookies设置带有效户特定会话信息的ASP使用程序。比方,假如您的使用程序是一个同意用户选择和购置CD唱盘的联机音乐商铺,就能够用SessionID跟踪用户周游全部使用程序时的选择。
SessionID可否被黑客料中?
为了避免盘算机黑客料中SessionIDcookie并取得对正当用户的会话变量的会见,Web服务器为每一个SessionID指派一个随机天生号码。每当用户的Web扫瞄器前往一个SessionIDcookie时,服务器掏出SessionID和被付与的数字,接着反省是不是与存储在服务器上的天生号码分歧。若两个号码分歧,将同意用户会见会话变量。这一手艺的无效性在于被付与的数字的长度(64位),此长度使盘算机黑客料中SessionID从而夺取用户的举动会话的大概性几近为0。
加密主要的SessionIDCookie
截获了用户sessionIDcookie的盘算机黑客可使用此cookie冒充该用户。假如ASP使用程序包括公家信息,信誉卡或银行帐户号码,具有夺取的cookie的盘算机黑客就能够在使用程序中入手下手一个举动会话并猎取这些信息。您能够经由过程对您的Web服务器和用户的扫瞄器间的通信链路加密来避免SessionIDcookie被截获。
利用身份考证机制回护被限定的ASP内容
您能够请求每一个试图会见被限定的ASP内容的用户必需要有无效的WindowsNT帐号的用户名和暗码。每当用户试图会见被限定的内容时,Web服务器将举行身份考证,即确认用户身份,以反省用户是不是具有无效的WindowsNT帐号。
Web服务器撑持以下几种身份考证体例:
基础身份考证 提醒用户输出用户名和暗码。
WindowsNT哀求/呼应式身份考证 从用户的Web扫瞄器经由过程加密体例猎取用户身份信息。
但是,Web服务器仅当克制匿名会见或WindowsNT文件体系的权限限定匿名会见时才考证用户身份。
回护元数据库
会见元数据库的ASP剧本必要Web服务器所运转的盘算机的办理员权限。在从远程盘算机上运转这些剧本时,须经已经由过程身份考证的毗连,如利用WindowsNT哀求/呼应考证体例举行毗连。应当为办理级.asp文件创立一个服务器或目次并将其目次平安考证体例设置为WindowsNT哀求/呼应式身份考证。今朝,仅MicrosoftInternetExplorerversion2.0或更高版本撑持WindowsNT哀求/呼应式身份考证。
利用SSL保护使用程序的平安
SecureSocketsLayer(SSL)3.0协定作为Web服务器平安特征,供应了一种平安的假造通明体例来创建与用户的加密通信毗连。SSL包管了Web内容的考证,并能牢靠地确认会见被限定的Web站点的用户的身份。
经由过程SSL,您能够请求试图会见被限定的ASP使用程序的用户与您的服务器创建一个加密毗连;以防用户与使用程序间互换的主要信息被截取。
保护包括文件的平安
假如您从位于没有回护的假造根目次中的.asp文件中包括了位于启用了SSL的目次中的文件,则SSL将不被使用于被包括文件。因而,为了包管使用SSL,应确保包括及被包括的文件都位于启用了SSL的目次中。
客户资历认证
把持对您的ASP使用程序会见的一种非常平安的办法是请求用户利用客户资历登录。客户资历是包括用户身份信息的数字身份证,它的感化与传统的诸如护照或驾驶执照等身份证实不异。用户一般从托付的第三方构造取得客户资历,第三方构造在发放资历证之前确认用户的身份信息。(一般,这类构造请求姓名、地点、德律风号码及地点构造称号;此类信息的具体水平随赐与的身份品级而异。)
每当用户试图登录到必要资历考证的使用程序时,用户的Web扫瞄器会主动向服务器发送用户资历。假如Web服务器的SecureSocketsLayer(SSL)资历映照特征设置准确,那末服务器就能够在允许用户对ASP使用程序会见之前对其身份举行确认。
用于处置资历证实的ASP剧本
作为ASP使用程序开辟职员,您能够编写剧本来反省资历是不是存在并读取资历字段。比方,您能够从资历证实中会见用户名字段和公司名字段。ActiveServerPages在Request工具的ClientCertificate汇合中保留资历信息。
必需将Web服务器设置为承受或必要客户资历,然后才干经由过程ASP处置客户资历;不然,ClientCertificate汇合将为空。
ASP一般认为只能运行在IIS上,正如前面所提到的,这并不是十分正确,事实上,ASP也能运行在Apache上。ApacheASP可在任意Apache服务器上运行有限的ASP功能,所需做的,只需打开mod_perl。 学习ASP其实应该上升到如何学习程序设计这种境界,其实学习程序设计又是接受一种编程思想。比如ASP如何学习,你也许在以前的学习中碰到过。以下我仔细给你说几点: 掌握asp的特性而且一定要知道为什么。 还有如何才能在最短的时间内学完?我每天可以有效学习2小时,双休日4小时。 它可通过内置的组件实现更强大的功能,如使用A-DO可以轻松地访问数据库。 还有如何才能在最短的时间内学完?我每天可以有效学习2小时,双休日4小时。 另外因为asp需要使用组件,所以了解一点组件的知识(ADODB也是组件) 下面简单介绍一下我学习ASP的方法,希望对想学习ASP的朋友有所帮助...
页:
[1]