xss漏洞防范 ＡＳＰ网站常见漏洞及防范方法浅析

　　摘要：介绍利用ASP开发动态网站时存在的常见漏洞，比如用户密码漏洞、数据库下载漏洞、非法文件上传漏洞等，浅析漏洞产生的原因并给出了解决办法。 　　关键词：ASP漏洞；入侵防范；网站安全
　　
　　1 用户名与口令被破解
　　
　　1.1 攻击原理
　　用户名与口令，黑客们往往可以通过啊D、明小子等软件暴力破解。特别要记住限制万能密码("or"="or")的使用。
　　1.2 防范技巧
　　涉及用户名与口令的程序最好封装在服务器端，尽量少在ASP文件里出现， 涉及与数据库连接的用户名与口令应给予最小的权限。只给它存储的权限，千万不要直接给予该用户修改、插入、删除记录的权限。再则，为了防止万能密码的使用，我们需加入以下代码：
　　
　　
　　
　　2 代码不够严格
　　
　　2.1 攻击原理
　　将出现如下这些情况：
　　(1) 直接上传asp、asa、jsp、cer、php、aspx、htr、cdx之类的木马，拿到shell。
　　(2) 在上传时在后缀后面加空格或者加几个点，例如：*.asp ,*.asp..。
　　(3) 利用双重扩展名上传，例如：*.jpg.asa格式(也可以配上第二点一起利用)。
　　(4) gif文件头欺骗，gif89a文件头检测是指程序为了他人将asp等文件后缀改为gif后上传,读取gif文件头,检测是否有gif87a或gif89a标记,是就允许上传,不是就说明不是gif文件。而欺骗刚好是利用检测这两个标记,只要在木马代码前加gif87a就能骗过去。
　　2.2 防范技巧
　　如果你的网站支持文件上传，要特别注意asp网站上传代码的分析以防上传文件的扩展名过滤不严。一定要设定好你要上传的文件格式。最好在上传程序里做一次验证，那么你的上传程序安全性将会大大提高。如下代码只允许上传gif、jpg、jpeg、bmp、png、doc、txt、swf的文件。代码如下：
　　"声明文件类型
　　Dim filesext
　　filesext="gif,jpg,jpeg,bmp,png,doc,txt,swf"
　　If Request.QueryString("action")="Upload" Then Server.ScriptTimeOut=999999
　　"判断文件类型是否合格
　　Private Function CheckFileExt (fileEXT)
　　dim Forumupload
　　Forumupload=split(filesext,",")
　　for i=0 to ubound(Forumupload)
　　if lcase(fileEXT)=lcase(trim(Forumupload(i))) then CheckFileExt=true
　　exit Function
　　else CheckFileExt=false
　　end if
　　next
　　End Function
　　综上所述,我们认识到asp网站存在着一些基本漏洞，这些漏洞通过我们的学习是可以避免的。此外，我们还一定要清醒认识网络的脆弱性和信息安全的潜在威胁,对于网站的服务器要积极采取有力的安全管理和策略,这些对于网站的正常运行是非常有必要的。
　　
　　――――――――――
　　参考文献
　　[1]龙马工作室.asp+access网站开发实例精讲[M].北京:人民邮电出版社,2007.2.
　　
　　2007年福建省大学生创新性实验项目，课题名称：网络攻防技术的研究与实践。