ASP網路安全手冊(1) (轉)
ASP網路安全手冊(1) (轉)[@more@]
手冊(1)
[ 作者: 不詳 新增時間: 2001-5-26 11:52:29 ]
來源:
一 前言
Active Server Pages(ASP)是端指令碼編寫環境,使用它可以建立和執行動態、互動的 伺服器應用。使用 ASP 可以組合 HTML 頁 、指令碼命令和 以建立互動的 Web 頁和基於 Web 的功能強大的應用程式。
現在很多網站特別是電子商務方面的網站,在前臺上大都用ASP來實現。以至於現在ASP在網站應用上很普遍。
ASP是開發網站應用的工具,但是有些網站管理員只看到ASP的快速開發能力,卻忽視了ASP安全問題。ASP從一開始就一直受到眾多,的困擾,包括%81的噩夢,密碼驗證問題,IIS漏洞等等都一直使ASP網站開發人員心驚膽跳。
本文試圖從開放了ASP服務的操作漏洞和ASP程式本身漏洞,闡述ASP安全問題,並給出解決方法或者建議。
二 關鍵字
ASP,網路安全,IIS,,。
三 ASP工作機理
Active Server Page技術為應用開發商提供了基於指令碼的直觀、快速、高效的應用開發手段,極大地提高了開發的效果。在討論ASP的安全性問題之前,讓我們來看看ASP是怎麼工作的。ASP指令碼是採用明文(plain text)方式來編寫的。
ASP指令碼是一系列按特定語法(目前支援和兩種指令碼語言)編寫的,與標準HTML頁面混合在一起的指令碼所構成的文字格式的。當客戶端的最終用WEB透過INTE來訪問基於ASP指令碼的應用時,WEB瀏覽器將向WEB伺服器發出HTTP請求。WEB伺服器分析、判斷出該請求是ASP指令碼的應用後,自動透過IS介面ASP指令碼的解釋執行引擎(ASP.DLL)。ASP.DLL將從檔案系統或內部緩衝區獲取指定的ASP指令碼檔案,接著就進行語法分析並解釋。最終的處理結果將形成HTML格式的內容,透過WEB伺服器"原路"返回給WEB瀏覽器,由WEB瀏覽器在客戶端形成最終的結果呈現。這樣就完成了一次完整的ASP指令碼呼叫。若干個有機的ASP指令碼呼叫就組成了一個完整的ASP指令碼應用。
讓我們來看看執行ASP所需的環境:
Microsoft Internet Information Server 3.0/4.0/5.0 on NT Server
Microsoft Internet Information Server 3.0/4.0/5.0 on
Microsoft Personal Web Server on 95/98
Option Pack所帶的Microsoft IIS提供了強大的功能,但是IIS在網路安全方面卻是比較危險的。因為很少有人會用Windows 95/98當伺服器,因此本文我更多的從NT中的IIS安全問題來探討。
四 自稱的ASP的安全優點
雖然我們本文的重點是探討ASP漏洞和後門,但是有必要談談ASP在網路安全方面的"優點",之所以加個"",是因為有時這些微軟宣稱的"優點"恰恰是其安全隱犯。
微軟稱ASP在網路安全方面一大優點就是使用者不能看到ASP的源程式,從ASP的原理上看,ASP在服務端執行並解釋成標準的HTML語句,再傳送給客戶端瀏覽器。"遮蔽"源程式能很好的維護ASP開發人員的版權,試想你辛辛苦苦做了一個很優秀的程式,給人任意COPY,你會怎麼想?而且還能分析你的ASP程式,挑出漏洞。更重要的是有些ASP開發者喜歡把密碼,有特權的使用者名稱和路徑直接寫在程式中,這樣別人透過猜密碼,猜路徑,很容易找到系統的"入口"。但是目前已經發現了很多能檢視ASP源程式的漏洞,後面我們還要討論。
IIS支援虛擬目錄,透過在"伺服器屬性"對話方塊中的"目錄"標籤可以管理虛擬目錄。建立虛擬目錄對於管理WEB站點具有非常重要的意義。虛擬目錄隱藏了有關站點目錄結構的重要資訊。因為在瀏覽器中,客戶透過選擇"檢視",很容易就能獲取頁面的檔案路徑資訊,如果在WEB頁中使用物理路徑,將暴露有關站點目錄的重要資訊,這容易導致系統受到攻擊。其次,只要兩臺機器具有相同的虛擬目錄,你就可以在不對頁面程式碼做任何改動的情況下,將WEB頁面從一臺機器上移到另一臺機器。還有就是,當你將WEB頁面放置於虛擬目錄下後,你可以對目錄設定不同的屬性,如:Read、Excute、Script。讀訪問表示將目錄內容從IIS傳遞到瀏覽器。而執行訪問則可以使在該目錄內執行可執行的檔案。當你需要使用ASP時,就必須將你存放.asp檔案的目錄設定為"Excute(執行)"。建議大家在設定WEB站點時,將HTML檔案同ASP檔案分開放置在不同的目錄下,然後將HTML子目錄設定為"讀",將ASP子目錄設定為"執行",這不僅方便了對WEB的管理,而且最重要的提高了ASP程式的安全性,防止了程式內容被客戶所訪問。
相關內容:
-
-
- 的影響
-
- 簡介
手冊(1)
[ 作者: 不詳 新增時間: 2001-5-26 11:52:29 ]
來源:
一 前言
Active Server Pages(ASP)是端指令碼編寫環境,使用它可以建立和執行動態、互動的 伺服器應用。使用 ASP 可以組合 HTML 頁 、指令碼命令和 以建立互動的 Web 頁和基於 Web 的功能強大的應用程式。
現在很多網站特別是電子商務方面的網站,在前臺上大都用ASP來實現。以至於現在ASP在網站應用上很普遍。
ASP是開發網站應用的工具,但是有些網站管理員只看到ASP的快速開發能力,卻忽視了ASP安全問題。ASP從一開始就一直受到眾多,的困擾,包括%81的噩夢,密碼驗證問題,IIS漏洞等等都一直使ASP網站開發人員心驚膽跳。
本文試圖從開放了ASP服務的操作漏洞和ASP程式本身漏洞,闡述ASP安全問題,並給出解決方法或者建議。
二 關鍵字
ASP,網路安全,IIS,,。
三 ASP工作機理
Active Server Page技術為應用開發商提供了基於指令碼的直觀、快速、高效的應用開發手段,極大地提高了開發的效果。在討論ASP的安全性問題之前,讓我們來看看ASP是怎麼工作的。ASP指令碼是採用明文(plain text)方式來編寫的。
ASP指令碼是一系列按特定語法(目前支援和兩種指令碼語言)編寫的,與標準HTML頁面混合在一起的指令碼所構成的文字格式的。當客戶端的最終用WEB透過INTE來訪問基於ASP指令碼的應用時,WEB瀏覽器將向WEB伺服器發出HTTP請求。WEB伺服器分析、判斷出該請求是ASP指令碼的應用後,自動透過IS介面ASP指令碼的解釋執行引擎(ASP.DLL)。ASP.DLL將從檔案系統或內部緩衝區獲取指定的ASP指令碼檔案,接著就進行語法分析並解釋。最終的處理結果將形成HTML格式的內容,透過WEB伺服器"原路"返回給WEB瀏覽器,由WEB瀏覽器在客戶端形成最終的結果呈現。這樣就完成了一次完整的ASP指令碼呼叫。若干個有機的ASP指令碼呼叫就組成了一個完整的ASP指令碼應用。
讓我們來看看執行ASP所需的環境:
Microsoft Internet Information Server 3.0/4.0/5.0 on NT Server
Microsoft Internet Information Server 3.0/4.0/5.0 on
Microsoft Personal Web Server on 95/98
Option Pack所帶的Microsoft IIS提供了強大的功能,但是IIS在網路安全方面卻是比較危險的。因為很少有人會用Windows 95/98當伺服器,因此本文我更多的從NT中的IIS安全問題來探討。
四 自稱的ASP的安全優點
雖然我們本文的重點是探討ASP漏洞和後門,但是有必要談談ASP在網路安全方面的"優點",之所以加個"",是因為有時這些微軟宣稱的"優點"恰恰是其安全隱犯。
微軟稱ASP在網路安全方面一大優點就是使用者不能看到ASP的源程式,從ASP的原理上看,ASP在服務端執行並解釋成標準的HTML語句,再傳送給客戶端瀏覽器。"遮蔽"源程式能很好的維護ASP開發人員的版權,試想你辛辛苦苦做了一個很優秀的程式,給人任意COPY,你會怎麼想?而且還能分析你的ASP程式,挑出漏洞。更重要的是有些ASP開發者喜歡把密碼,有特權的使用者名稱和路徑直接寫在程式中,這樣別人透過猜密碼,猜路徑,很容易找到系統的"入口"。但是目前已經發現了很多能檢視ASP源程式的漏洞,後面我們還要討論。
IIS支援虛擬目錄,透過在"伺服器屬性"對話方塊中的"目錄"標籤可以管理虛擬目錄。建立虛擬目錄對於管理WEB站點具有非常重要的意義。虛擬目錄隱藏了有關站點目錄結構的重要資訊。因為在瀏覽器中,客戶透過選擇"檢視",很容易就能獲取頁面的檔案路徑資訊,如果在WEB頁中使用物理路徑,將暴露有關站點目錄的重要資訊,這容易導致系統受到攻擊。其次,只要兩臺機器具有相同的虛擬目錄,你就可以在不對頁面程式碼做任何改動的情況下,將WEB頁面從一臺機器上移到另一臺機器。還有就是,當你將WEB頁面放置於虛擬目錄下後,你可以對目錄設定不同的屬性,如:Read、Excute、Script。讀訪問表示將目錄內容從IIS傳遞到瀏覽器。而執行訪問則可以使在該目錄內執行可執行的檔案。當你需要使用ASP時,就必須將你存放.asp檔案的目錄設定為"Excute(執行)"。建議大家在設定WEB站點時,將HTML檔案同ASP檔案分開放置在不同的目錄下,然後將HTML子目錄設定為"讀",將ASP子目錄設定為"執行",這不僅方便了對WEB的管理,而且最重要的提高了ASP程式的安全性,防止了程式內容被客戶所訪問。
相關內容:
-
-
- 的影響
-
- 簡介
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10748419/viewspace-1003902/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 【公益譯文】航空網路安全指導手冊(二)
- 【公益譯文】航空網路安全指導手冊(三)
- 【公益譯文】航空網路安全指導手冊(一)
- 【公益譯文】航空網路安全指導手冊(四)
- 【公益譯文】航空網路安全指導手冊(五)
- 群邑:品牌安全手冊
- [譯] Swift 網路單元測試完全手冊Swift
- oracle函式手冊(轉)Oracle函式
- 域起網路攜手幾維安全,護航網際網路遊戲業務安全遊戲
- 無線網路安全——1、WiFi安全基礎知識WiFi
- flowable 官網手冊
- ORACLE分析函式手冊(轉)Oracle函式
- 確保預言機網路安全運轉
- Spring入門學習手冊 1:最簡單的反轉控制Spring
- 網際網路對業務轉型的安全影響
- ORACLE分析函式手冊二(轉)Oracle函式
- 翻譯:man getopt(1)中文手冊
- 【網路安全】知名網路安全企業有哪些?
- 軟銀1億美元投給網路安全公司Cybereason
- 網路安全—xss
- 王一博手機號被粉絲打爆,網際網路時代網路安全多重要?
- React V16入門手冊(1)React
- 網路安全需要學習哪些技能?網路安全學習
- 網路安全難學嗎?網路安全需要掌握哪些技能?
- 網路安全需要掌握哪些技能?網路安全怎麼學?
- 網路安全真的很重要嗎?學網路安全
- sql語句的程式設計手冊(轉)SQL程式設計
- 什麼是網路安全?網路安全主要涉及哪些方面?
- 網路安全學什麼基礎?網路安全哪個好些?
- 【網路安全】你必須知道的幾個網路安全概念
- 什麼是網路安全?網路安全包括哪幾個方面?
- 網路安全需要掌握哪些技能?網路安全入門學習
- 網路安全名詞概念有哪些?網路安全技能學習
- 網路安全常見問題有哪些?網路安全學習
- Web 安全開發規範手冊 V1.0Web
- Web安全開發規範手冊V1.0Web
- 網路安全基礎
- 網路安全 DNSSEC & HTTPDNSDNShttpd
- 提高網路安全方式