ASP教程之ASP平安设置不完整手册
强大的可扩展性。ASP具有强大的扩展性,可以实现与多种网络、硬件设备的连接:通过专用的通讯线路远程接入企业;通过远程拨号服务器为远程拨号客户提供服务;通过WAP为移动电话互联网客户服务。平安――从asp程序编写到服务器设置ASP全称ActiveServerPages,是微软推出的用来代替CGI(CommonGatewayInterface)的静态服务器网页手艺。因为ASP对照复杂易学,又有微软这个壮大背景的撑持,以是使用对照普遍,绝对来讲发明的缺点和针对各程序的毛病也对照多。ASP可运转的服务器端平台包含:WinNT、Win2k、WinXP和Win2003,在Win98情况下装上PWS4.0也能够运转。如今我们就针对Win2k和Win2003这两个体系来谈谈ASP的平安设置。
ASP程序平安篇:
在做平安设置前,我们先懂得一下进侵者的打击伎俩。如今很盛行注进打击,所谓注进打击,就是使用提交特别地点将ASP中援用的一般SQL语句和进侵者所必要的SQL语句一并实行,使进侵者到达进侵的目标。如今更是有一些剧本注进工具公布,使菜鸟也能够轻松完成对ASP的注进打击。那末我们先来懂得一下这些工具是如何注进的。
起首,进侵者会对一个网站断定可不成以举行注进,假定一篇文章的地点为:http://www.scccn.com/news.asp?id=1一样平常会以提交两个地点来测试,如:
http://www.scccn.com/news.asp?id=1and1=1
http://www.scccn.com/news.asp?id=1and1=2
第一个地点前面加了and1=1,组成的SQL语句也就变成了:Select*from表单名whereid=1and1=1这句话要建立就必需and前后语句都建立。那末后面的文章地点是能够会见的,前面的1=1也是客不雅建立的,那末第一个地点就能够一般显现;相反1=2是明显不建立的,关头就看这步了,假如提交and1=2页面仍是一般显现申明他并未将and1=2写进SQL语句,此站也就不存在注进毛病;但假如提交and1=2以后前往了毛病页面则申明此站点将前面的语句带进了SQL语句并实行了,也就申明他能够举行SQL注进。(注:假如地点前面跟的是news.asp?id=1就得变成news.asp?id=1and1=1来补全引号了)
那末,晓得能够注进后进侵者能够做甚么呢?
这里就复杂的说一下,好比提交如许的地点:
http://www.scccn.com/news.asp?id=1andexists(select*from表名where列名=数据)
依据前往的准确或毛病页面来判别猜的表名和列名是不是准确,详细完成时是先猜表名再猜列名。当猜出表名和列名以后还能够用ASC和MID函数来猜出各列的数据。MID函数的格局为:mid(变量名,第几个字符入手下手读取,读取几个字符),好比:mid(pwd,1,2)就能够从变量pwd中的第一名入手下手读取两位的字符。ASC函数的格局为:ASC("字符串"),如:asc("a")就能够读出字母a的ASCII码了。那末实践使用的时分就能够写为:asc(mid(pwd,1,1))如许读取的就是pwd列的第一个字符的ASCII码,提交:asc(mid(pwd,1,1))>97以前往的页面是不是为准确页面来判别pwd列的第一个字符的ASCII码是不是年夜于97(a的ASCII码),假如准确就再试是不是小于122(z的ASCII码)……如许渐渐减少字符的ASCII码的局限,猜到实在的ASCII码也只是工夫的成绩。一名一名的猜就能够失掉数据库中的用户名和暗码了。另有一种ASP考证缺点――就是用户名和暗码都输or1=1,机关SQL语句Select*form表单名whereusername=or1=1andpwd=or1=1就能够到达绕过暗码考证的目标。
说了那末多,实在提防的办法很复杂,我们把特别字符(如and、or、、")都克制提交就能够避免注进了。ASP传输数据分为get和post两种,get是经由过程将数据增加到URL后提交的体例,post则是使用邮寄信息数据字段将数据传送到服务器。
那末,我们先来看看怎样将get体例提交数据中的特别字符过滤。起首要晓得,IIS是以字符串的情势将get哀求传给asp.dll的,在将数据传送给Request.QueryString以后,asp剖析器会剖析出Request.QueryString的信息,然后跟据"&"来分出各个数组内的数据。如今我们要让get体例不克不及提交以下字符:
、and、exec、insert、select、delete、update、count、*、%、chr、mid、master、truncate、char、declare
那末,避免get体例注进的代码就以下:
<%
dimsql_leach,sql_leach_0,Sql_DATA
sql_leach=",and,exec,insert,select,delete,update,count,*,%,chr,mid,master,truncate,char,declare"
sql_leach_0=split(sql_leach,",")
IfRequest.QueryString""Then
ForEachSQL_GetInRequest.QueryString
ForSQL_Data=0ToUbound(sql_leach_0)
ifinstr(Request.QueryString(SQL_Get),sql_leach_0(Sql_DATA))>0Then
Response.Write"请不要实验举行SQL注进!"
Response.end
endif
next
Next
EndIf
%>
个中,变量sql_leach中的字符串就是指定过滤的字符,以","离隔。
接着过滤post提交体例的注进,我们能够看到,request.form也是以数组情势存在的,只需对它再举行一次轮回判别就能够了。避免以post体例注进的ASP代码以下:
<%
IfRequest.Form""Then
ForEachSql_PostInRequest.Form
ForSQL_Data=0ToUbound(sql_leach_0)
ifinstr(Request.Form(Sql_Post),sql_leach_0(Sql_DATA))>0Then
Response.Write"请不要实验举行SQL注进!"
Response.end
endif
next
next
endif
%>
如许,get和post注进都被克制了。
别的就是数据库的成绩,起首如今很盛行的用*.asp定名数据库已没甚么意义了,由于能够用下载软件来下载;在数据库名前加#的感化也不年夜,固然会见时扫瞄器只会见#后面的内容,可是假如将#用其unicode表达法(%23)交换失落就能够会见了。既然如许,那末我们克制进侵者暴库就能够了。一样平常暴数据库的办法,是将读取数据库的文件名(如conn.asp)前的"/"交换为"%5c"(""的unicode表达法)如许就能够使ASP将%5c注释为会见网站根目次,而实践是数据库不在指定地位,找不到数据库,再将IE设置为"显现友爱的HTTP毛病信息"的情形下天然就暴出了数据库的路径。
提防的办法也对照复杂,就是让ASP程序即便在堕落的情形下也不报错间接实行下一步就能够了。在ASP文件中加这么一句:onerrorresumenext就OK了。
另有几点要注重的:
1.数据库定名长些并只管放在网站根目次下,数据库的表名和字段名只管分歧惯例;2.保留敏感信息(如用户和暗码)的数据库只管和在前台页面援用的数据库分隔(假如用新的暴库办法由前台页面暴出了数据库,那末进侵者也得不到有代价的信息);3.背景的目次名和上岸页面的名字要改的不平常些,万万不成呈现admin大概login之类的字符,以避免被注进软件扫描到背景。4.假如前台或背景有上传文件的功效,牢记不克不及有任何其他功效间接的或直接的具有变动文件名的权限。如许的多重保证就加倍平安些了。
ASP服务器平安设置篇(针对win2k和win2003):
我们从裸机提及――
起首,拔失落网线,按需求分区以后将一切盘格局化为NTFS,在D盘安装体系。体系装完以后立即做一个裸体系的ghost备份,以防前面设置的过程当中出不测。
先把驱动都装上是需要的。以后先装防火墙,选择一款好的防火墙是很主要的。能买硬件防火墙最好,保举的选择:ciscopix系列、天融信NGFW系列、冰之眼(进侵检测体系)。没有硬件防火墙的情形下,利用软件防火墙,保举:Blackice(我团体的最爱)、Checkpoint(以色各国家级防火墙)、ZoneAlarm(不太熟习,但口碑不错),固然对照喜好天网防火墙,可是不保举服务器用天网。
装完防火墙装杀毒软件,保举:KV江平易近杀毒软件(好器材)、诺顿(固然好,但对照强横)、卡巴斯基(传闻对照耗内存,但对病毒疗效狂好)。
入手下手安装各类必要的软件,假如是2003体系,别忘了装IIS。以上一切软件都装在一个非体系盘的指定盘里。
上面入手下手给体系打补钉,起首用手头有的光盘给2k打上SP4或给2003打上SP1。在当地操纵的情形下将能打体系和软件的补钉都打上。以后,在确认防火墙和杀毒软件都设置好的情形下插上彀线,入手下手windowupdate,并晋级杀毒软件至最新病毒库。打完一切的体系和软件的补钉以后,将网线拔失落,把一切一时文件和体系补钉留下的卸载文件全体删除,假如以为占用空间太多还能够把%systemroot%System32dllcache下的一切文件删除(体系备份文件),这将使最初的ghost备份文件体积对照小。然后再次用ghost备份体系。
以后删除不平安的组件,必要将WScript.Shell,WScript.Network,Shell.application删撤除。在cmd下分离输出(以2k为例,2003路经为D:windows):
regsvr32/uD:WINNTSystem32wshom.ocx
delD:WINNTSystem32wshom.ocx
从头启动,就OK了。别的进侵者能够使用getobject("WINNT")取得用户和历程的列表,能够将Workstation服务禁用作为提防措施。
设置权限是需要的。起首,断定IIS里要创建几个站点,以后为每一个站点创建一个用户。在IIS站点的目次平安性里选择让这个用户作为匿名会见的帐户。再设置一切分区都克制这个用户会见,而在站点对应的文件夹设置同意此用户会见。如许即便站点被进侵,进侵者也拿不到服务器的shell。
统统做好以后用ghost再次备份,并将做好的备份文件放在与服务器不在统一局域网的呆板上或绝对平安的中央。插上彀线,服务器就能够平安的一般事情了。以后能够在每次服务重视起时复原一次体系,这都是后话了。
好了,基础上就这么多了,以上说的大概不太完整,仅作参考之用,不敷的地方还请妙手多多增补。
</p>对用户来说可预见费用、节约费用,可以做到花少钱办大事。由于省去了购买软件和硬件等的前期费用,用户可以租用较高级的应用软件。ASP的收费是根据软件的类型、客制化程度、用户数量、服务期限来定的,对客户来说这笔费用是可以预见的。方便于客户应用软件的升级。 我就感觉到ASP和一些常用的数据库编程以及软件工程方面的思想是非常重要的。我现在也在尝试自己做网页,这其中就用到了ASP,我想它的作用是可想而知的。 学习是为了用的,是为了让你的程序产生价值,把握住这个原则会比较轻松点。除此之外,课外时间一定要多参加一些社会实践活动,来锻炼自己的能力。 我认为比较好的方法是找一些比较经典的例子,每个例子比较集中一种编程思想而设计的。 我认为比较好的方法是找一些比较经典的例子,每个例子比较集中一种编程思想而设计的。 用户端的浏览器不需要提供任何别的支持,这样大提高了用户与服务器之间的交互的速度。 ASP.Net摆脱了以前ASP使用脚本语言来编程的缺点,理论上可以使用任何编程语言包括C++,VB,JS等等,当然,最合适的编程语言还是MS为.NetFrmaework专门推出的C(读csharp),它可以看作是VC和Java的混合体吧。 我们必须明确一个大方向,不要只是停留在因为学而去学,我们应有方向应有目标. 以上是语言本身的弱点,在功能方面ASP同样存在问题,第一是功能太弱,一些底层操作只能通过组件来完成,在这点上是远远比不上PHP/JSP,其次就是缺乏完善的纠错/调试功能,这点上ASP/PHP/JSP差不多。
页:
[1]