2024年6月21日发(作者：)

龙源期刊网

基于ASP技术下的WEB服务器安全解析

作者：李殿勋

来源：《计算机光盘软件与应用》2012年第23期

摘要：本文对Asp技术下的WEB服务器的安全问题进行分析和总结，旨在提高使用ASP

技术的WEB开发和应用的安全性。

关键词：ASP；Web服务器；数据库

中图分类号：TP391 文献标识码：A 文章编号：1007-9599 （2012） 23-0000-02

Asp是微软公司推出的基于WEB编程的服务器端脚本环境，ASP可以轻松地实现对页面

内容的动态控制，根据不同的浏览者，显示不同的页面内容。ASP可包含HTML标签，也可

以直接存取数据库及使用无限扩充的ActiveX控件，因此在程序编制上要比HTML方便而且更

富有灵活性。目前，IIS+ASP+SQL（或Access）方案已成为中小型企业构建自己网上信息系

统的首选方案。虽然Asp具有快速开发能力，但Asp也存在很多不容忽视的安全漏洞。

1 ASP程序设计安全技术

Asp程序设计的安全主要涉及三个方面：Asp源代码的安全、Asp程序设计的安全和数据

库安全。

1.1 ASP源代码的安全。（1）保证ASP源码的安全的主要技术是Asp脚本加密技术。常

用方法有两种：一是ASP2DLL技术。其基本思想是利用VB6.0提供的Activexdll对象将Asp

代码进行封装，编译为DLL文件，在Asp程序中调用该DLL文件。二是利用微软提供的

ScriptEncoder加密软件对Asp页面进行加密。（2）置合适的脚本映射。应用程序的脚本映射

保证了Web服务器不会意外地下载Asp文件的源代码，但不安全或有错误的脚本映射易导致

Asp源代码泄漏。因此，应将用不到的有一定危险性的脚本映射删掉（如*.htr文件及*.htw，

*.ida，*.idq等索引文件）。

1.2 程序设计中的安全。（1）用户名、口令机制。用户名、口令是最基本的安全技术，在

Asp中常采用Form表单提交用户输入的账号和密码，与用户标识数据库中相应的字段进行匹

配，在必要的场合可以使用MD5算法来加密用户输入的密码，可以保证在线路被窃听的情况

下依然保证数据的安全，保护用户口令的安全。（2）注册验证。为了网站资源的安全性和易

于管理，可以对用户进行分级，给定权限，使特定用户访问特定的资源群，也可以阻止未授权

用户使用网站的资源，这就需要对用户进行注册验证操作。在ASP中，我们可以利用Session

对象和Http头信息来实现此类安全控制。当访问者通过身份验证页面后，就把Session对象的

Sessionid属性作为一个Session变量存储起来，当访问者试图导航到一种有效链接的页面时，

可将当前的Sessionid与存储在Session对象中的ID进行比较，如果不匹配，则拒绝访问。如

龙源期刊网

在Session（“id”）中保存着第一次链接的Sessionid，<%nid<>session（“id”）

%>’拒绝访问。（3）网页过期管理。考虑到有可能用户在使用网页的过程

中，有可能会长时间离开计算机处理别的事情，这样会给别有用心的人有可乘之机，所以应该

给网页一个过期时间。这样不仅保证了用户的安全，也可以减少服务器的链接数，减少服务器

压力。可以使用t=时间，过了这么长时间网页就失效了，前提是你用一个

session值来判断登录状态如t=20。（4）页面缓冲管理：页面缓冲可以加快网站

的浏览速度，但也会给非法用户提供了越权浏览的机会。因此，重要的Web页面（如身份验

证页面）必须禁止页面缓存，强制浏览器每次向Web服务器请求新页面。利用Asp的

Response对象的Expires属性和Clear方法可解决此问题。具体设置：

s=，expires表示缓存页面的有效期，0表示立即过期，clear表示

清空缓冲区。（5）程序错误管理：错误的执行参数和意外的执行过程，都可以导致页面出现

错误提示，而这些错误提示会提供给别人很多网站的信息，比如使用数据库的类型，表中所含

字段的名称等等。会造成程序的不安全。所以在编程过程中要注意对异常数据的处理和意外事

件的控制，才能保证网站的安全性。

1.3 数据库的安全。（1）ACCESS数据库：在一些小型程序中，常用到ACCESS数据

库，ACCESS数据库易于管理而安全性低，应注意在命名时不要采用常规的*.mdb的后缀名，

而应该用*.asp，*.inc文件的后缀名，这样，即使数据库路径即使被别人发现，也不能下载数

据库而导致信息的不安全。（2）SQLSERER数据库：首先应更改sa口令，取消guest帐号。

并且不能把sa帐号的密码写在应用程序或者脚本中。其次，应加强数据库访问日志的监视，

定期备份数据库。同时，制订完整的数据库备份策略，在必要的时候能够实现对数据库的恢

复。（3）屏蔽数据库路径信息。为防止数据库路径和名称随ASP源代码失密而失密，常使用

ODBC数据源。使用ODBC数据源连接数据库的命令是“DSN名”。

2 WEB服务器的安全

Asp技术中常用微软自带的IIS架设WEB服务器。WEB服务器的安全包括了系统的安全

和IIS的安全。

2.1 系统的安全。（1）目录文件的保护：NTFS权限。NTFS文件系统提供了比Fat32更为

安全的文件管理方式，它通过文件访问控制表（ACL）定义了用户访问文件和目录的权限级

别，如果用户具有打开文件的权限，计算机则允许该用户访问文件。通过设定目录和文件的访

问权限，禁止无关用户对目录文件进行复制、修改、删除等操作，限制对系统的入侵。（2）

防火墙技术。可以根据WEB服务器的应用范围，决定防火墙的位置。（3）审核与监视技

术。安全审核负责监视系统中各种与安全有关的事件，生成安全日志，并提供查看安全日志的

方法。通过分析安全日志，可以发现并阻止各种危及系统安全的行为。除了安全日志，系统日

志和应用程序日志也是很好的监视工具，它们记录了用户自登录开始直到退出的整个操作过

程，为网络安全分析提供可靠的依据。（4）关闭不用的服务和协议，堵上系统的漏洞和后

门。“尽量少开没用到的服务”，如果开启了某个服务，就要提防该服务可能引起的漏洞。同时

龙源期刊网

要定期下载操作系统、IIS、ASP和DBMS最新漏洞的补丁，将可能发生的安全隐患减到最

少。

2.2 IIS的安全。（1）不要将IIS安装在系统分区上。默认情况下，IIS与操作系统安装在

同一个分区中，这是一个潜在的安全隐患。因为一旦入侵者绕过了IIS的安全机制，就有可能

入侵到系统分区。如果管理员对系统文件夹、文件的权限设置不是非常合理，入侵者就有可能

篡改、删除系统的重要文件，或者利用一些其他的方式获得权限的进一步提升。将IIS安装到

其他分区，即使入侵者能绕过IIS的安全机制，也很难访问到系统分区。（2）修改IIS的安装

默认路径。IIS的默认安装的路径是＼inetpub，Web服务的页面路径是＼inetpub＼wwwroot，

这是任何一个熟悉IIS的人都知道的，入侵者也不例外，使用默认的安装路径无疑是告诉了入

侵者系统的重要资料，所以需要更改。（3）删除危险的IIS组件。默认安装后的有些IIS组件

可能会造成安全威胁，例如Internet服务管理器（HTML）、SMTPService和NNTPService、样

本页面和脚本，大家可以根据自己的需要决定是否删除。

Asp环境下的安全问题应从系统的全局进行分析和考虑，既要保证系统安全，又要取得良

好的系统性能。本文从服务器端、Asp程序设计两个方面对Asp安全技术进行分析和总结，但

随着新的攻击手段和方法不断涌现，要构建一个面面俱到的安全体系是很困难的，因为一种技

术只能解决一或几个方面的问题。因此，Asp的安全应侧重于预防，规范自己的编程习惯，及

时地堵上系统漏洞，定期进行风险评估，安装入侵检测系统等预防措施能及时有效地进行入侵

防范。

[作者简介]李殿勋（1966.9-），男，单位：辽宁轨道交通职业学院（沈阳铁路机械学校）

教务处副处长兼教学评估与督导办公室主任，高级讲师，研究方向：信息技术及人力资源管理

等。