2024年9月15日发(作者：)

ASP 安全性 Web服务器

ASP是位于服务器端的脚本运行环境;通过这种环境;用户可以创建和运行动态的交互式We

b 服务器应用程序..ASP使用的ActiveX技术基于开放设计环境;用户可以自己定义和制作组件

加入其中;使自己的动态网页几乎具有无限的扩充能力..ASP还可利用ADO方便快捷地访问数 据

库;从而使得开发基于的应用系统成为可能..但是;千万不要轻视正确配置安全设置的 重要性..

如果不正确配置安全设置;不但会使您的ASP应用程序遭受不必要的篡改;而且会 妨碍正当用户

访问您的asp文件..Web服务器提供了各种方法;保护您的ASP应用程序不被 未授权的用户访问

和篡改..

1 NTFS 权限

您可以通过单独的文件和目录应用NTFS访问权限来保护ASP应用程序文件..NTFS 权限是W

e b服务器安全性的基础;它定义了一个或一组用户访问文件和目录的不同级别..当拥有Windo

ws NT 有效帐号的用户试图访问一个有权限限制的文件时;计算机将检查文件的访问控制表 ..

该表定义了不同用户和用户组所被赋予的权限..如果用户的帐号具有打开文件的权限;计 算机

则允许该用户访问文件..

2 维护Globalasa的安全

为了充分保护 ASP 应用程序;一定要在应用程序的Globalasa文件上为适当的用户或用户

组设置NTFS文件权限..如果Globalasa包含向浏览器返回信息的命令而您没有保护 Global as

a文件;则信息将被返回给浏览器;即便应用程序的其他文件被保护..而且;一定 要对应用程序

的文件应用统一的NTFS权限..

3 Web 服务器权限

可以通过配置的Web服务器的权限来限制所有用户查看、运行和操作的ASP页的方式..不同

于 NTFS权限提供的控制特定用户对应用程序文件和目录的访问方式;Web服务器权限应用于所

有用户;并且不区分用户帐号的类型..对于要运行您的ASP应用程序的用户;在设置Web服务 器

权限时;必须遵循下列原则：

对包含 asp文件的虚拟目录允许“读”或“脚本”权限；对 asp文件和其他包含脚本的文

件所在的虚目录允许“读”或“脚本”权限；对包含 asp文件和其他需要“执行”权限才 能运

行的文件的虚目录允许“读”和“执行”权限..

4 脚本映射文件

应用程序的脚本映射保证了Web服务器不会意外地下载 asp文件的源代码..例如;即使您为

包含了某个 asp文件的目录设置了“读”权限;只要该 asp文件隶属于某个脚本映射应用 程序;

那么您的Web服务器就不会将该文件的源代码返回给用户..

5 Cookie 安全性

ASP 使用SessionID cookie跟踪应用程序访问或会话期间特定的Web浏览器的信息..这就

是 说;带有相应的 cookie 的 HTTP 请求被认为是来自同一Web浏览器..Web服务器可以使用S

e ssionID cookies 配置带有用户特定会话信息的ASP应用程序..

5.1 SessionID能否被黑客猜中

为了防止计算机黑客猜中SessionID cookie并获得对合法用户的会话变量的访问;Web 服

务 器为每个SessionID指派一个随机生成号码..

每当用户的Web浏览器返回一个 SessionID coo kie时;服务器取出SessionID和被赋予的数字;

接着检查是否与存储在服务器上的生成号码 一致..若两个号码一致;将允许用户访问会话变量..

这一技术的有效性在于被赋予的数字的 长度64 位;此长度使计算机黑客猜中SessionID从而窃

取用户的活动会话的可能性几乎 为0..

5.2 加密重要的SessionID Cookie

截获了用户sessionID cookie的计算机黑客可以使用此cookie假冒该用户..如果ASP应用

程 序包含私人信息;信用卡或银行帐户号码;拥有窃取的cookie的计算机黑客就可以在应用程

序中开始一个活动会话并获取这些信息..您可以通过对您的Web服务器和用户的浏览器间的 通

讯链路加密来防止SessionID cookie被截获..

6 使用身份验证机制保护被限制的ASP内容

您可以要求每个试图访问被限制的ASP内容的用户必须要有有效的Windows NT帐号的用户

名 和密码..每当用户试图访问被限制的内容时;Web服务器将进行身份验证;即确认用户身份 ;

以检查用户是否拥有有效的Windows NT帐号..Web服务器支持以下几种身份验证方式：

6.1 基本身份验证 提示用户输入用户名和密码

Windows NT请求/响应式身份验证 从用户的Web浏览器通过加密方式获取用户身份信息..

然 而;Web服务器仅当禁止匿名访问或Windows NT文件系统的权限限制匿名访问时才验证用户

身份..

6.2 保护元数据库

访问元数据库的ASP脚本需要Web服务器所运行的计算机的管理员权限..在从远程计算机上

运 行这些脚本时;须经已通过身份验证的连接;如使用 Windows NT 请求/响应验证方式进行 连

接..应该为管理级 asp文件创建一个服务器或目录并将其目录安全验证方式设置为 Wind ows

NT 请求/响应式身份验证..目前;仅 Microsoft Internet Explorer version 20 或 更高版本

支持Windows NT请求/响应式身份验证..

7 使用SSL维护应用程序的安全

SSL 协议作为Web服务器安全特性;提供了一种安全的虚拟透明方式来建立与用户的加密通

讯连接..SSL保证了Web内容的验证;并能可靠地确认访问被限制的Web站点的用户的身份..

7.1 通过SSL可以被限制的程序

1通过SSL;您可以要求试图访问被限制的ASP应用程序的用户与您的服务器建立一个加密

连接；以防用户与应用程序间交换的重要信息被截取..

7.2 维护包含文件的安全

如果您从位于没有保护的虚拟根目录中的 asp文件中包含了位于启用了SSL的目录中的文

件 ;则SSL将不被应用于被包含文件..因此;为了保证应用SSL;应确保包含及被包含的文件都

位于启用了SSL的目录中..

7.3 客户资格认证

控制对您的ASP应用程序访问的一种十分安全的方法是要求用户使用客户资格登录..客户

资 格是包含用户身份信息的数字身份证..用户通常从委托的第三方组织获得客户资格;第三方

组织在发放资格证之前确认用户的身份信息..