论文部分内容阅读
摘要:文章讨论了IIS Asp+Access模式的安全缺陷,从Web服务器的安全漏洞、Asp网站程序及Access数据库存在的安全隐患方面加以分析并给出预防对策。
关键词:网络安全;IIS;ASP;Access数据库
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)19-30049-02
The Research of Site Security Based on IIS ASP Access
WANG Feng
(Computer Department, Automobile Manage College, Bengbu 233011, China)
Abstract: The article discusses the security flaws of IIS ASP Access mode, From the Web server security holes, ASP Site Access database procedures and the terms of potential safety problems, gives thepreventive measures.
Key words: Network Security; Internet Information Server; Active Server Page; Access Database
1 引言
Internet Information Server的缩写为(IIS)是一个World Wide Web server,ASP是一种典型的服务器端网页设计技术,Access数据库是以标准JET为引擎的桌面型数据库系统。目前,IIS ASP Access模式已成为构建Internet网站的常用模式,被广泛应用在网上银行、电子商务、搜索引擎等各种互联网应用中。但是这种模式的网站在运行时会带来严峻的安全问题。
2 Web服务器上的安全问题及防范
2.1 Web服务器的安全问题
主要来自服务器的安全漏洞,可以从以下几方面考虑:(1)Web服务器本身存在一些漏洞使得一些人能侵入到主机系统.破坏一些重要的数据。甚至造成系统瘫痪;(2)Web服务器的一些扩展组件存在漏洞,可能导致网络安全和信息泄漏;(3)从远程用户向服务器发送信息时,中途遭不法分子非法拦截;(4)在Web服务器上你不让人访问的秘密文件、目录或重要数据。
2.2 Web服务器的安全防范措施
(1)对Web服务器经常进行升级,安装相应的安全补丁,可以最大限度的堵住系统漏洞;(2)更改默认的管理员帐户名(Administrator)和描述,新建一个名为Administrator的陷阱帐号为其设置最小的权限;(3)网络服务安全管理禁止C$、D$、ADMIN$一类的缺省共享、解除NetBios与TCP/IP协议的绑定、关闭不需要的服务;(4)配置 IIS 服务时不使用默认的Web站点、删除IIS默认创建的Inetpub目录(在安装系统的盘上)、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。删除不必要的IIS扩展名映射;(5)定期查看服务器中的日志logs文件,分析一切可疑事件;(6)设置好Web服务器上系统文件的权限和属性,对可让人访问的文档分配一个公用的组,如www,并只分配它只读的权利。把所有的HTML文件归属www组,由Web管理员管理www组。对于Web的配置文件仅对Web管理员有写的权利;(7)通过限制许可访问用户IP或DNS;(8)通过杀毒软件和防火墙保证服务器安全。
3 网站数据库的安全问题及防范
3.1 数据库位置名称方面的安全问题和防范
网站设计人员喜欢把数据库放在Data或Database等目录下。对数据库的文件名也通常采用Data、Mydata、Database等。这种做法在方便自己的同时,很容易被非法用户猜解到并下载。从而网站的数据被窃取。防范对策:可以采用字母 数字并超过8位的组合作为数据文件目录或文件名,对于Access文件最好更改其扩展名MDB为ASP。
3.2 数据库结构方面安全问题和防范
(1)数据表的命名问题。不要直接用类似Admin、User等作为表名,可以使用XX—Admin—XX等形式,用字母和数字组合作为表名的前后缀,以防止SQL注入时被猜解出表名;(2)数据宇段的命名问题。不要直接用Admin、UserName、等敏感字段名,可以采用一些难以猜解的字母和数宇组合来作为字段名以加强数据的安全性;(3)数据库权限安全问题尽量不要把数据库密码留空或使用弱口令作为数据库密码,合理使用10位(字母和数字混排)以上的数据库密码来加强数据库的安全。
3.3 数据库连接字符串方面安全问题和防范
(1)在数据库连接字串中不直接出现明文密码,采用对称加密密码可以提高数据库的安全;(2)数据连接文件不要用常见的Conn、DbConn作为文件名,避免使用.inc、.asa作为扩展名,同时也不要把文件放在类似Inc、Data、Conn等目录下,以防数据库连接被非法下载。
在ASP网站设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,例如:
DBPath = Server.MapPath("./akkt/kj61/acd/av5/faq9jl.mdb")
conn.open "driver={Microsoft Access Driver(*.mdb)};dbq="
关键词:网络安全;IIS;ASP;Access数据库
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)19-30049-02
The Research of Site Security Based on IIS ASP Access
WANG Feng
(Computer Department, Automobile Manage College, Bengbu 233011, China)
Abstract: The article discusses the security flaws of IIS ASP Access mode, From the Web server security holes, ASP Site Access database procedures and the terms of potential safety problems, gives thepreventive measures.
Key words: Network Security; Internet Information Server; Active Server Page; Access Database
1 引言
Internet Information Server的缩写为(IIS)是一个World Wide Web server,ASP是一种典型的服务器端网页设计技术,Access数据库是以标准JET为引擎的桌面型数据库系统。目前,IIS ASP Access模式已成为构建Internet网站的常用模式,被广泛应用在网上银行、电子商务、搜索引擎等各种互联网应用中。但是这种模式的网站在运行时会带来严峻的安全问题。
2 Web服务器上的安全问题及防范
2.1 Web服务器的安全问题
主要来自服务器的安全漏洞,可以从以下几方面考虑:(1)Web服务器本身存在一些漏洞使得一些人能侵入到主机系统.破坏一些重要的数据。甚至造成系统瘫痪;(2)Web服务器的一些扩展组件存在漏洞,可能导致网络安全和信息泄漏;(3)从远程用户向服务器发送信息时,中途遭不法分子非法拦截;(4)在Web服务器上你不让人访问的秘密文件、目录或重要数据。
2.2 Web服务器的安全防范措施
(1)对Web服务器经常进行升级,安装相应的安全补丁,可以最大限度的堵住系统漏洞;(2)更改默认的管理员帐户名(Administrator)和描述,新建一个名为Administrator的陷阱帐号为其设置最小的权限;(3)网络服务安全管理禁止C$、D$、ADMIN$一类的缺省共享、解除NetBios与TCP/IP协议的绑定、关闭不需要的服务;(4)配置 IIS 服务时不使用默认的Web站点、删除IIS默认创建的Inetpub目录(在安装系统的盘上)、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。删除不必要的IIS扩展名映射;(5)定期查看服务器中的日志logs文件,分析一切可疑事件;(6)设置好Web服务器上系统文件的权限和属性,对可让人访问的文档分配一个公用的组,如www,并只分配它只读的权利。把所有的HTML文件归属www组,由Web管理员管理www组。对于Web的配置文件仅对Web管理员有写的权利;(7)通过限制许可访问用户IP或DNS;(8)通过杀毒软件和防火墙保证服务器安全。
3 网站数据库的安全问题及防范
3.1 数据库位置名称方面的安全问题和防范
网站设计人员喜欢把数据库放在Data或Database等目录下。对数据库的文件名也通常采用Data、Mydata、Database等。这种做法在方便自己的同时,很容易被非法用户猜解到并下载。从而网站的数据被窃取。防范对策:可以采用字母 数字并超过8位的组合作为数据文件目录或文件名,对于Access文件最好更改其扩展名MDB为ASP。
3.2 数据库结构方面安全问题和防范
(1)数据表的命名问题。不要直接用类似Admin、User等作为表名,可以使用XX—Admin—XX等形式,用字母和数字组合作为表名的前后缀,以防止SQL注入时被猜解出表名;(2)数据宇段的命名问题。不要直接用Admin、UserName、等敏感字段名,可以采用一些难以猜解的字母和数宇组合来作为字段名以加强数据的安全性;(3)数据库权限安全问题尽量不要把数据库密码留空或使用弱口令作为数据库密码,合理使用10位(字母和数字混排)以上的数据库密码来加强数据库的安全。
3.3 数据库连接字符串方面安全问题和防范
(1)在数据库连接字串中不直接出现明文密码,采用对称加密密码可以提高数据库的安全;(2)数据连接文件不要用常见的Conn、DbConn作为文件名,避免使用.inc、.asa作为扩展名,同时也不要把文件放在类似Inc、Data、Conn等目录下,以防数据库连接被非法下载。
在ASP网站设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,例如:
DBPath = Server.MapPath("./akkt/kj61/acd/av5/faq9jl.mdb")
conn.open "driver={Microsoft Access Driver(*.mdb)};dbq="