计算机论文范文:对基于ASP网站的安全性研究与实现的分析和探讨

大体上是以电子数据的形式把文字、图像、声音、动画等多种形式的信息存贮在服务器中，并通过计算机、网络通信终端等方式再现出来的资源，随着计算机应用水平与网络的不断发展，网站资源呈现出传统资源所无法比拟的优势：信息的海量化、信息的交互性、共享性、时效性以及信息的安全性等。网站资源是通过计算机网络来访问的，而由于计算机网络高度的互动性和可变性，一定会产生一些人为和非人为的安全性问题。本文以下内容将对基于ASP网站的安全性研究与实现进行分析和探讨，以供参考。 2、ASP技术概述 2.1 ASP技术的原理 ASP技术的原理首先是客户端向服务器端提出HTTP的请求，然后IIS接受其客户端提出的请求，随后调用ASP引擎，由此得出相应的ASP文件并执行Javascript或VBScript，最后通过Activex组件ADO访问数据库，然后根据数据库的结果自动生成HTML页面直接去响应客户发出的请求。 2.2 ASP技术的含义 ASP运用了微软公司的ActiveX技术，ActiveX技术是现在Mircosoft软件的一项重要基础，它采用封装对象和程序调用对象的技术，这样可以简化编程以加强程序间合作。ASP本身封装了一些基本的组件和常用组件，许多公司也开发了很多实用组件，只要可以在服务器上安装这些组件，通过访问组件便可以快速地建立自己的WEB应用。 ASP运行在服务器端，这样就不必担心浏览器是否支持ASP所使用的编程语言，ASP的编程语言可以是VBScript和Javascript。VBScript是VB的一个简集，会VB的人可以很方便的快速上手。然后Netscape浏览器不支持客户端的VBScript，所以，看到的是ASP生成的HTML代码，而不是ASP程序代码，这样就可以防止别人抄袭程序。 3、安全模块的设计与实现 3.1安全模块的实现过程 注册加密模块实现：一个网站的安全管理最主要的部分就是用户个人信息的保密性和完整性，在此模块中主要的调用RSA加密算法对用户注册的重要信息加密保存，用户写入注信息时首先验证用户信息格式的合法性，用户信息输入全为合法时调用RSA加密算法对其进行加密后存入数据库。先调用函数产生公钥和私钥，然后调用Encode对用户信息进行加密，生成的密文以乱码的字符串存入数据库。 防注入模块实现：防注入模块的功能实现体现在注册页面上，当客户端提交非法信息进行非法注入时，系统会对客户端提交的非法参数进行加密，加密后存入数据库，当客户端进行非法注入时候，首先调用函数产生双钥和模，然后调用函数对非法信息进行加密，生成的密文存入数据库，管理员登陆时候调用函数进行加密，通过浏览器显示注入信息。 登陆图片验证码的实现：用户登录时候登陆界面的函数去调用页面，这为了显示整个随机数字图片，然后GetSafeCode函数又去调用页面，这是为了取得随机数字图片，并将随机数字放到会话中，Safecode.asp又使用Canvas.asp来产生随机图片及其颜色，canvas.asp又使用font.asp来产生了随机数及其字体。 3.2 ASP编程安全 网络安全的话题已经成为当今流行的一种趋势，因此安全职责不仅是网络管理员的职责，更是编程人员的一种职责，所以必须养成良好的编程习惯，否则，会给不法分子造成可乘之机，目前，大多数网站的ASP程序有各种安全漏洞，但如果书写程度时多加注意的话，有些漏洞是可以避免的。 关于用户名与口令的程序应该封装在服务器端，不要在ASP文件里出现，涉及到与数据库连接的用户名和口令，可问题应给予较小强度的权限，用户名和口令是黑客们比较关注的东西，如果能通过某种方式看到源代码，那后果将不堪设想，因此要尽量减少他们在ASP文件中的出现频率，我们可以把出现次数比较多的用户名和口令可以写在一个比较隐蔽的包含文件中。如果涉及到与数据库连接的问题，要只给予执行存储过程的权限，不要直接给予该用户以修改、插入、删除记录的权限，要不会很容易出现漏洞。 大多数的ASP页面需要进行验证，这个时候可以跟踪上一个页面的文件名，只有从上一个页面转进来的会话才能读取这个页面，现在大多数要经过验证的ASP程序都是在页面头上加一个判断语句，但还是有可能被黑客绕过验证直接进入，因此有必要跟踪上一个页面。 3.3 ASP服务器的安全设置 目前支付ASP服务器的操作系统主要有微软公司的Windows系统，可以有如下几点防范技巧：要定时升级杀毒软件和操作系统补丁；不要安装不安全的组件，如果不需要组件的同时也能完成的，最好不要安装组件，必须需要组件完成的，最好安装安全性比较高的组件；更改一下Internet信息服务上网站的日志目录路径；更改一下Internet信息服务默认Web站点的主目录，建一些虚拟目录，当然主目录和虚拟目录也不要建在系统盘上；主目录或虚拟目录中只允许读取和记录访问权限，执行权限为纯脚本，应用程序保护设置为高。 3.4 ASP木马 在ASP受到攻击时候，入侵者一般是通过ASP程序的上传功能的漏洞进入后台上传ASP木马程序的，当木马一旦上传上去就有可能取得网站的管理权限，此时很有可能会去修改或删除文件、数据库等或篡改网站的主页，因此ASP木马的防范主要有如下几种：上传的时候用户需通过ftp来上传维护网页，尽量不安装ASP的上传程序；用户在上传文件时，需限制文件的扩展名；不光是网站前台，网站的后台也显得尤为重要。 4、结尾 ASP的安全性体现在多个方面，从信息安全的角度来说没有绝对安全的东西，但可以通过人为的因素去最大限度的弥补安全漏洞，而且必须从多方面着手，只有这样才能确保ASP网站的安全。 参考文献： [1]《软件工程》陈国良等，高等教育出版社 [2]《网络安全技术》谭三等，清华大学出版社 [3]《网站规划建设与管理维护》来宾等，冶金工业出版社  

本站内容均来自互联网，仅供演示用，请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系，我们将在24小时内删除。QQ:522-52-5970