2024年6月20日发(作者：)

第３３卷第４期　

２０１１年１２月　

集宁师专学报　

Ｖｂｌ－３３，Ｎｏ．４　

Ｊｏｕｒｎａｌ　ｏｆＪｉｎｉｎｇＴｅａｃｈｅｒｓ　Ｃｏｌｌｅｇｅ　

Ｄｅｃ．２０１　ｌ　

动态网站的ＡＳＰ漏洞　

李同梅　，孟繁珍　

（１．集宁师范学院计算机系，　内蒙古乌兰察布０１２０００；　

２．中国联合网络通信有限公司乌兰察布分公司）　

摘要：ＡＳＰ的漏洞有的是程序自身的缺陷，也有一部分是由于ＡＳＰ调试服务器的漏洞所造成　

的。针对不同的漏洞，可以采用不同的方法修补，本文重点讨论引号漏洞和ＡｃｃｅｓＳ数据库下栽　

漏洞这两个方面的问题，提高数据库的安全性．　

关键词：ＡＳＰ漏洞；　密码验证；ＳＱＬ语句：Ａｃｃｅｓｓ数据库　

中图分类号：ＴＮ９１５．０８　文献识别码：Ａ　文章编号：１００９—７１７１（２０１１）０４－００４５—０３　

网站的安全性一直是一个很重要的问题。对于一个小型的个人网站，如果没有什么重　

要信息，也不担心信息泄漏，对网站安全就没有很高的要求，则采用Ｗｉｎｄｏｗｓ＋ｌＩＳ的默认　

安全策略就可以解决问题；但是对于重要的商业网站，有很多商业机密，网站源码就需要　

被保护，这时，提高网站的安全性能成了头等大事。本文针对ａｓｐ漏洞，来探讨如何设置　

ＡＳＰ网站的安全性。　

１密码验证漏洞形成探析　

常用站点在用户管理中都将注册用户的用户名和用户密码，放到网络数据库的有关表　

中，在出现登录窗口的登录程序中，使用下面的ＳＱＬ语句来实现查询数据库以核对用户所　

填写的数据。如下：　

＜％　

ｕｓｅｒｘｍ＝Ｒｅｑｕｅｓｔ（　ｘｍ　）　’获取用户姓名　

ｐａｓｓｗｏｒｄ＝Ｒｅｑｕｅｓｔ（　唧　）　’获取用户密码　

Ｓｅｔ　Ｒｓ＝Ｓｅｒｖｅｒ．ＣｒｅａｔｅＯｂｊｅｃｔ（　ＡＤＯＤＢ．ＲＥＣＯＲＤＳＥＴ　）　

Ｓｑｌ　１＝　Ｓｅｌｅｃｔ木Ｆｒｏｍ　ａｄｍｉｎ　ｗｈｅｒｅ　ｚｄ　ｕｓｅｒｘｍ＝’　＆ｕｓｅｒｘｍ＆　’ａｎｄ　ｚｄ　ｐａｓｓｗｏｒｄ＝’　＆　

ｐａｓｓｗｏｒｄ　

Ｒｓ．Ｏｐｅｎ　Ｓｑｌ１，Ｃｏｎｎ，１，１　

Ｉｆ　Ｎｏｔ　ｒｓ．ｅｏｆ　Ｔｈｅｎ　

ｓｅｓｓｉｏｎ（　ｕｓｅｒｘｍ　）＝ｕｓｅｒｘｍ　

ｒｅｓｐｏｎｓｅ．Ｒｅｄｉｒｅｃｔ（　ａｄｍｉｎ．ａｓｐ　）　

％＞　

该代码常常被用在检验系统合法用户的页面，登录页面利用ｓｅｓｓｉｏｎ变量　

ｓｅｓｓｉｏｎ（＂ｕｓｅｒｘｍ　）＝ｕｓｅｒｘｍ将用户名和密码传递到这个页面，再利用ＳＱＬ语句在数据库中　

进行查找是否有该用户名和密码，如果找到就结束该页面，否则用语句　

ｒｅｓｐｏｎｓｅ．Ｒｅｄｉｒｅｃｔ（　ａｄｍｉｎ．ａｓｐ　）重新转到登录页面。　

在实际应用中，往往将用于判断合法用户的页面包含在其它页面中，若该页面名为　

ａｄｍｉｎ．ａｓｐ，则只要在其它页面的开始部分加入＜！－－＃ｉｎｃｌｕｄｅ　ｆｉｌｅ＝”ａｄｍｉｎ．ａｓｐ”一！＞即　

可。若不是合法用户，则转到登录页面：否则结束该页面，执行本页面的其它内容。　

数据库中存储的用户名和密码都是字符串型数据，在查询数据库过程中，常常使用单　

引号把要查询的数值括起来，其实这样的代码很容易被访问者用一些方法获得并利用。　

在这种情况下，非法访问者只需要使用这样的一个特殊密码：ＷＯＷＯ’ｏｒ’１’＝１，就　

收稿日期：２０１１－５．２４　

作者简介：李同梅（１９７０．），女，汉族，内蒙凉城人，副教授，学士，研究方向：计算机教育　

集宁师专学报　第３３卷　

可以很容易通过数据库的验证并登录到数据库中，为什么会出现这样的情况呢？下面，我　

们分析一下这类密码在程序使用过程中最后生成的ＳＱＬ查询语句。　

Ｓｑｌ　Ｓｅｌｅｃｔ：Ｉ：Ｆｒｏｍ　ａｄｍｉｎ　ｗｈｅｒｅ　ｚｄ

—

ｕｓｅｒｎａｍｅ　’　＆ｕｓｅｒｘｍ＆　’ａｎｄ　ｚｄ

ｐａｓｓｗｏｒｄ＝　

＿

’

ＷＯＷＯ’ｏｒ’１’＝’１’　

’１’＝’ｌ’永远为ｔｒｕｅ（真），由于ｏｒ（或）的作用，上面的ＳＱＬ查询不管在数据库中是否能　

查到ｕｓｅｒｘｍ和密码为ＷＯＷＯ的用户，ｚｄ—ｕｓｅｒｎａｍｅ＝～＆ｕｓｅｒｘｍ＆　ａｎｄ　ｚｄ　ｐａｓｓｗｏｒｄ＝　

ＷＯＷＯ’ｏｒ’１，＝’ｌ，的返回值永远是ｔｒｕｅ（真），那么查询所返回的记录集中总是包含有用　

户数据库中的记录，换句话说，ｒｓ．ｅｏｆ永远为ｆａｌｓｅ，就是说记录指针永远不会指到文件的　

末尾。最终反映到程序中的查找效果与合法的用户正确操作完全相同，这样，访问者就可　

’

以很轻松地进入到本来没有权限的程序页面中。　

当然，非法访问者也可以使用一个特殊的登录用户名，如ＷＯＷＯ’ｏｒ’ｌ’＝’ｌ也可以　

进入本来他没有权限查看的一个程序页面。使用这样的登录用户名，最后生成的ＳＱＬ代码　

为：　

Ｓｑｌ　１＝　Ｓｅｌｅｃｔ木Ｆｒｏｍ　ａｄｍｉｎ　ｗｈｅｒｅ　ｚｄ　

＿

ｐａｓｓｗｏｒｄ　

＝’　＆　

ｐａｓｓｗｏｒｄ　

＆　’

ａｎｄ　ｚｄ　ｕｓｅｒｎａｍｅ　

’

＝

ＷＯＷＯ’ｏｒ’１’：’１’　

这种情况同构造特殊密码一样，由于使用逻辑运算符ｏｒ（或）的作用，所以查询数据　

库文件的操作过程，是因为’ｌ’＝’１’永远为ｔｒｕｅ（真），使得这个表达式ｚｄ

ｐａｓｓｗｏｒｄ＝～＆　

—

ｐａｓｓｗｏｒｄ＆　ａｎｄ　ｚｄ

—

ｕｓｅｒｎａｍｅ＝’ＷＯＷＯ’ｏｒ’ｌ’：’１’永远为真，导致程序的运行并不进　

行正确的用户登录名和用户密码的比较，而直接得到一个含有网页数据库中所有记录的记　

录集。这样，非法访问者也绕过了正确用户登录名和用户密码验证的步骤，而进入到本来　

没有使用权限查看的程序页面。　

２密码验证漏洞安全处理　

解决这种类型漏洞的方法是：修改单引号在ＳＱＬ中的使用。　

对程序中ＳＱＬ语句中的单引号进行修改，我们可以使用下面的函数巧妙地进行一下转　

换，如：　

Ｆｕｎｃｔｉｏｎ　ｓｑｌ　１（数据）　

Ｓｑｌ１＝　＆Ｒｅｐｌａｃｅ（数据，　，　～）　～　

Ｅｎｄ　Ｆｕｎｃｔｉｏｎ　

把在程序ＳＱＬ中可能存在使用单引号的数据换成双单引号连用的形式，即两个双引号，　

这样就可以避免了程序中因单引号的前后匹配造成的访问者绕过用户登录名和用户密码验　

证的漏洞。下面的代码是用函数替换单引号的方法。　

＜％　

Ｓｑｌ　Ｉ＝　ｓｅｌｅｃｔ木ｆｒｏｍ　ａｄｍｉｎ　ｗｈｅｒｅ　ｕｓｅｒｘｍ＝　

Ｓｑ１１＝ｓｑｌ１＆ｓｑｌ１（ｕｓｅｒｘｍ）　

％＞　

这样即便访问者使用了类似ＷＯＷＯ’ｏｒ　ｕｓｅｒｘｍ＜＞’ＷＯＷＯ这样的用户登录名或者用户密　

码，那么经过ｓｑｌ函数的运算，其结果也应该是：　

ｓｅｌｅｃｔ士ｆｒｏｍ　ａｄｍｉｎ　ｗｈｅｒｅ　ｕｓｅｒｘｍ＝’ＷＯ”ｏｒ　ｕｓｅｒｘｍ＜＞’’ＷＯＷＯ’　

通过这样的替换运算，结果就不会产生因为ｏｒ（或）运算符导致程序中ＳＱＬ判断永　

远为ｔｒｕｅ（真）的情况。　

３　Ａｃｃｅｓｓ数据库被下载漏洞原因及策略　

ＡＳＰ结合后台Ａｃｃｅｓｓ数据库开发应用系统在一些小型网站中得到了广泛应用。这种方　

式存在着很大的安全隐患，如果访问者知道了数据库的文件名，整个数据库就存在完全被　

下载的可能。数据库文件中常常存放着一个网站的全部数据，如果数据被人下载了，那么　

网站就会造成很大的损失。比如：Ａｃｃｅｓｓ数据库存放在服务器：＼ｎｅｗ＼ｄａｔａ＼ｄｂ目录下，若　

使用者知道该数据库文件存放的路径和文件名，可直接在浏览器的地址栏中输入该路径及　

第４期　李同梅，孟繁珍：动态网站的ＡＳＰ漏洞　４７　

文件名：ｈｔｔｐ：／／ｗｗｗ．ｆｕｗｕ／ｎｅｗ／ｄａｔａ／ｄｂ／ｕｓｅｒ．ｍｄｂ存放在服务器中的ｕｓｅｒ．ｍｄｂ数据库文　

件被下载到本地计算机中。如果该数据库没有加密安全措施，对一个应用系统来说，这就　

十分危险。比如，该数据库中存放了大量的客户信息。访问者完全可以利用别人的信息登　

录来进行一些非法操作，那么整个网站将有可能因此而陷入危险境地。　

造成这种数据库危险的主要原因是知道了数据库文件路径和文件名，许多非法访问者　

往往根据网站或系统的主题对数据文件进行一定的猜测。因此，如果将数据文件存于一个　

不太有实际意义的目录中，或将数据文件名命名成不太规律的文件名，可大大提高系统在　

这方面的安全性。解决这个漏洞的方法是使用不规则的数据库名字和路径。　

首先，为你的数据库文件命名一个复杂的没有规律的文件名，比如数据库文件名：　

ｙｌｏｎｈｕ１．ｍｄｂ，这样的文件名很难被人猜出来。　

其次，把数据库文件存放到多级目录之下，目录名称也尽量不要太规律。比如：把文　

件放到＼ｄｄａａ８＼ｉｏｐ７６＼ｓｓ５ｙ＼ｙｌｏｎｈｕ１．ｍｄｂ，这样访问者要想通过猜测获得数据库文件名和　

文件路径就变得非常困难。　

然后，不要把数据库文件名放在ＡＳＰ程序中，好多编程者习惯把ＤＳＮ写到ＡＳＰ程序里，　

比如下面的文件代码：　

Ｓｅｔ　Ｃｏｎｎ＝Ｓｅｒｖｅｒ．ＣｒｅａｔｅＯｂｊｅｃｔ（　ＡＤＯＤＢ．ＣＯＮＮＥＣＴＩＯＮ　）　

ＣｏｎｎＳｔｒ＝　Ｐｒｏｖｉｄｅｒ＝Ｍｉｃｒｏｓｏｆｔ．Ｊｅｔ．ＯＬＥＤＢ．４．０：Ｄａｔａ　Ｓｏｕｒｃｅ＝　＆Ｓｅｒｖｅｒ．ＭａｐＰａｔｈ　

（ｂｏｏｋ．ｍｄｂ）　

通过上面的源码文件我们可以得知，网站中数据库的文件名是ｂｏｏｋ．ｍｄｂ，文件路径可　

以通过Ｓｅｒｖｅｒ．ＭａｐＰａｔｈ获取，所以，如果是安全性较高的应用系统，一定要在ＯＤＢＣ数据　

源中事先设置好ＤＳＮ，然后在ＡＳＰ程序中直接调用这个ＤＳＮ。　

最后，利用Ａｃｃｅｓｓ系统本身的数据库编码及加密功能，来加强数据库文件的安全性。　

通过上述分析我们知道，ＡＳＰ漏洞有的是程序自身的缺陷，也有一部分是由于ＡＳＰ调　

试服务器的漏洞所造成的。虽然Ｍｉｃｒｏｓｏｆｔ也在努力修补这些漏洞，但总不能做到十全十　

美，如果存储重要信息的网站后台的数据库位置可以被发现并下载，这样入侵者就可以通　

过数据库中的内容进行破坏活动，从而造成很严重的后果。所以作为一个程序员一定要认　

真细心，争取修补网站中的所有的漏洞。　

参考文献：　

【ｌ】赵增敏．ＡＳＰ动态网页设计Ｄ　．北京：电子工业出版社，２００９．８．　

【２】陈永强．ＡＳＰ数据库开发经典实例精解【Ｍ】．北京：机械工业出版社，２００６．１．　

【３】韩殿元．ＡＳＰ动态网站开发技术与应用【Ｍ】．南京．南京大学出版社，２００７．４．　

ＡＳＰ　ｄｙｎａｍｉｃ　ｗｅｂｓｉｔｅ　ｖｕｌｎｅｒａｂｉｌｉｔｙ　

Ｌｉ　Ｔｏｎｇ－ｍｅｉｌ，Ｍｅｎｇ　Ｆａｎ．ｚｈｅｎ２　

（１．Ｄｅｐａｒｔｍｅｎｔ　ｏｆＣｏｍｐｕｔｅｒ　Ｓｃｉｅｎｃｅ，Ｊｉｎｉｎｇ　Ｔｅａｃｈｅｒｓ　Ｃｏｌｌｅｇｅ，Ｉｎｎｅｒ　Ｍｏｎｇｏｌｉａ　ｗｕｌａｎｃｈａｂｕ　０１２０００；　

（２．Ｗｕｌａｎｃｈａｂｕ　ｂｒａｎｃｈ　ｏｆ　ｃｈｉｎａ　ｕｎｉｃｏｒｎ）　

Ａｂｓｔｒａｃｔ：ＡＳＰ　ｖｕｌｎｅｒａｂｉｌｉｔｙ　ｉｎ　ｓｏｍｅ　ｐｒｏｇｒａｍ　ｉｔｓ　ｏｗｎ　ｓｈｏｒｔｃｏｍｉｎｇｓ，ｂｕｔ　ａｌｓｏ　ｐａｒｔｌｙ　ｄｕｅ　ｔｏ　ＡＳＰ　

ｄｅｂｕｇｇｉｎｇ　ｓｅｒｖｅｒ　ｖｕｌｎｅｒａｂｉｌｉｔｙ　ｃａｕｓｅｄ．Ｆｏｒ　ｄｉｆｆｅｒｅｎｔ　ｖｕｌｎｅｒａｂｉｌｉｔｉｅｓ，ｐａｔｃｈｅｓ　ｃａｎ　ｂｅ　ｕｓｅｄ　ｉｎ　

ｄｉｆｆｅｒｅｎｔ　ｗａｙｓ，ｔｈｉｓ　ａｒｔｉｃｌｅ　ｆｏｃｕｓｅｓ　ｏｎ　ｖｕｌｎｅｒａｂｉｌｉｔｉｅｓ　ａｎｄ　Ａｃｃｅｓｓ　ｄａｔａｂａｓｅ　ｄｏｗｎｌｏａｄ　ｑｕｏｔｅｓ　ｔｈｅｓｅ　

ｔｗｏ　ａｓｐｅｃｔｓ　ｏｆ　ｖｕｌｎｅｒａｂｉｌｉｔｙ　ａｎｄ　ｔｈｕｓ　ｈｅｌｐ　ｉｍｐｒｏｖｅ　ｔｈｅ　ｓｅｃｕｒｉｔｙ　ｏｆ　ｔｈｅ　ｄａｔａｂａｓｅ．　

Ｋｅｙ　ｗｏｒｄｓ：ＡＳＰ　ｖｕｌｎｅｒａｂｉｌｉｔｙ；ｐａｓｓｗｏｒｄ　ｖｅｒｉｆｙ；ＳＱＬ　ｓｔａｔｅｍｅｎｔ；Ａｃｃｅｓｓ　ｔｈｅ　ｄａｔａｂａｓｅ