2024年6月21日发(作者：)

ＳＹＳ　ＳＥＣＵＲＩＴＹ　系统安全　

浅谈ＡＳＰ．ＮＥＴ在ＷＥＢ开发中的安全问题　

◆尚忝　

摘要：ＡＳＰ．ＮＥＴ是目前使用较广泛的基于Ｉｎｔｅｍｅｔ￣Ｊ开发工具，ＡＳＰ．ｎｅｔ具有很好的语言特性　

易于开发且具有很好的ＩＤＥ支持，易于扩展和配置管理。本文，主要从网络安全方面，对ＡＳＰ．　

ｎｅｔ￣ＷＥＢ开发中的应用进行研究分析，从而提高ＡＳＰ．ＮＥＴ技术／￣ＪＷＥＢ开发和应用的安全性。　

关键词：ＳＰ．ＮＥＴ；发工具；网络安全；ＷＥＢ开发　

一

、

简介　

２脚本映射。利用应用程序脚本映射功能，对ＷＥＢ　

服务器程序进行映射，防止ｗＥＢ服务器不会由于意外　

下载ＡＳＰ文件的源代码，从而从根本上解决反编译等问　

题。但是，应识特别注意一些不安全的脚本映射非常容　

易导致ＡＳＰ．ＮＥＴ源代码泄露，所以应该对脚本映射进行　

组织管理，将一些应用不到的危险脚本映射进行删除，　

ＡＳＰ．ＮＥＴ是微软推出的基于ＷＥＢ编程的服务器端　

脚本环境，在该开发环境可以完成以往ＣＧＩ程序的功能　

应用及扩展。它可以轻松动态对页面内容进行控制，根　

据用户不同操作显示不同的页面。同时，还可以包含　

ＨＴＭＬ标签，且可以直接对数据库进行存取操作，支持　

可扩展ＡｃｔｉｖｅＸ控件，使得功能具有可向下扩展，从而　

实现系统的功能扩展，相对于ＨＴＭＬ而言具有更加灵活　

的应用。目前，ＷＥＢ开发常用的开发环境就是ＩＩＳ＋ＡＳＰ．　

ＮＥＴ＋ＳＱＬ（或者ＭＹＳＱＬ／ＡＣＣＥＳＳ）。虽然在ＷＥＢ开　

发中具有众多优点，可以极大间断开发周期，但在开发　

过程中同样存在很多不容忽视的安全漏洞。　

如：　．ｈ仃文件、｝．ｈｔｗ，｝．ｉｄａ，｝．ｉｄｑ等索引文件。　

（二）体系结构中的安全　

体系结构安全，通常体现在几方面，整个ＷＥＢ体　

系结构的安全与系统紧密联系在一起，在开发及应用中　

应该引起重视。　

１．用户名、口令安全方面。往往软件及ＷＥＢ系统都　

采用用户名、口令基本的安全技术对系统进行管理，在　

ＡＳＰ．ＮＥＴ￣计的系统中，通常采用Ｆｏｒｍ￣单对用户输入　

的帐号和口令进行提交，再与数据库中用户标识相应的　

二、ＷＥＢ设计安全　

ＡＳＰ．ＮＥＴ在ＷＥＢ开发设计中主要涉及三个方面的　

字段进行匹配验证。在特殊场合，开发中可以使用密匙　

或者ＭＤ５算法对用户名及口令进行加密，防止数据在线　

安全问题：源代码的安全、体系结构安全、数据库设计　

安全。　

（一）源代码安全　

传输中被窃听，保障用户名及口令安全。　

２．注册验证，通常，为了ＷＥＢ网站的安全性及易于　

管理，可以对用户进行分级，指定浏览权限，特定资源　

只对验证通过的用户进行开放，防止未授权用户对网站　

源代码安全，主要是体现在ＷＥＢ在发布后，由于　

脚本加密不够，导致ＷＥＢ被技术人员进行反编译从而　

破解ＷＥＢ源码，寻找到ＷＥＢ漏洞进而对ＷＥＢ进行技术　

资源进行非法访问。在ＡＳＰ．ＮＥＴ中，可以利用Ｈｔｔｐ头信　

息和Ｓｅｓｓｉｏｎ对象来实现这种安全控制。当用户通过了验　

证，将Ｓｅｓｓｉｏｎ￣象的Ｓｅｓｓｉｏｎｉｄ属性作为一个Ｓｅｓｓｉｏｎ变量　

存储起来，当用户导航到另一个有效链接页面时，将当　

前Ｓｅｓｓｉｏｎｉｄ与存储在ＳｅｓｓｉｏｎＸ￣象中的ＩＤ进行对比匹配，　

如果出现错误，则拒绝访问该页面。　

攻击或技术泄露等。保证ＡＳＰ．ＮＥＴ源代码的安全，主要　

有两种方法：　

１．源码加密技术。可以利用开发软件提供的，如　

ＭＳ２００５、ＶＳ６．０的Ａｅｔｉｖｅｘｄｌｌ对象，将源代码进行ＤＬＬ封　

装，在功能调用中使用ＤＬＬ调用，将源码编译为无法被　

破解的ＤＬＬ文件；利用微软公司提供的加密软件Ｓｃｒｉｐｔ　

Ｅｎｃｏｄｅｒ￣ＡＳＰ．ＮＥＴ页面进行加密，保障页面安全。　

３．对过期网页进行管理，很多用户可能在浏览ＷＥＢ　

页面时，长时间离开计算机，这样便给别有用心的人留　

６６　信息系统工程ｆ　２０１１．４　２０　

ＳＹＳ　ＳＥＣＵＲＩＴＹ　系统安全　＞＞　

下可乘之机。因此，应该给页面设定过期时间，如果用　

户长时间停留于一个页面，不做任何浏览动作，则对用　

户的登录验证信息进行注销处理。这样，一方面保护用　

户信息，另一方面减少服务器链接数，从而减少服务器　

压力。　

１．系统安全。对系统目录文件进行保护，通过对系　

统目录文件进行访问权限设定，禁止无权限用户对目录　

文件进行操作，限制系统的入侵；根据ｗＥＢ服务器进　

行防火墙设置，防止非法入侵及攻击；对系统监测日志　

进行安全管理，生产安全日志，定期对系统日志及程序　

日志进行监视管理；对系统当前不使用的服务进行关　４．ＷＥＢ页面缓冲管理，页面缓存是一种加快网页浏　

览速度的机制，但如果管理不当，也会给非法用户留下　

越权浏览的机会。因此，对于一些通过验证的浏览权限　

闭，阻止由于程序漏洞引起系统漏洞，定期对系统进行　

升级漏洞修复，将可能发生安全隐患的可能性降到最　

较高的页面，应该在浏览后及时删除缓存，强制浏览器　

向ＷＥＢ请求新页面。　

（三）数据库设计安全。　

１．ＡＣＣＥＳＳ数据库。在一些小型ＷＥＢ系统中，常常　

采用的是ＡＣＣＥＳＳ作为数据库，ＡＣＣＥＳＳ数据库易于管　

理，但安全性低，非常容易被破解打开，因此，在开发　

中应该采用不常见的　．ａｓｐ，　．ｉｎｃ等作为后缀名，而不用　

常规的　．ｍｄｂ的后缀名。这样，即使数据库路径用户发　

现，也不能数据库。　

２．ＳＱＬ数据库。首先，应该更改ＳＡ口令，撤销ｇｕｅｓｔ　

用户。其次，加强对数据库访问日志的监视，定期对数　

据库进行备份。同时，对数据库指定完整的策略进行备　

份保存，以便能由于突发事件对数据库进行紧急恢复。　

三、ＷＥＢ服务器安全　

ＡｓＰ．ＮＥＴ技术通常是采用微软自带ＩＩｓ架构及ｗＥＢ　

服务器进行开发。因此在ｗＥＢ服务器安全中，主要存　

在系统安全及ＩＩＳ安全两方面。　

（上接１０２页）　

四、结语　

ＲＦＩＤ中间件是ＲＦＩＤ系统中的重要组成，公共ＲＦＩＤ　

中间件设计，可以兼容很多ＲＦＩＤ厂商现有的中间件，并　

提供一系列的统一接口，从而为企业的ＲＦＩＤ项目实施　

带来更大的方便。企业在ＲＦＩＤ项目实施的过程中，利用　

此ＲＦＩＤ中间件提供的接口，可以灵活配置不同厂商的　

ＲＦＩＤ硬件设备，为企业提供了更多的选择；同时可以　

方便地同业务系统相衔接，便于业务系统管理者及时监　

管；也可以把标签数据及时保存到数据库系统中，业务　

低。　

２．ＩＩＳ安全。通常系统默认是将ＩＩＳ与操作系统安装　

在同一分区，这样存在潜在隐患，一旦非法用户突破　

ＩＩＳ安全机制，就极有可能人侵到系统，对管理员文　

件、文件夹进行非法设置。我们应该将／ＩＳ安装到其他　

分区，即使入侵者能绕过ＩＩＳ的安全机制，也很难访问　

到系统分区，从而避免系统遭到攻击和非法修改。　鞫　

参考文献　

［１］华军，等．基Ｉｆ－ＡＳＰ技术网站建设的安全性研究Ｕ１计算机工程　

和应用，２００３．　

［２】谭明佳．基于ＡｓＰ．ＮＥＴ的ｗｅｂ程序优化分析Ｕ１．计算机与现代　

化．２００５．　

［３】黄颖．ＡＳＰ．ＮＥＴ、ＳＱＬＳｅｒｖｅｒ￣术在动态网站开发中的应用卟　

电脑知识与技术．２００４　

（作者单位：四川省绵阳市绵阳职业技术学院）　

系统也可以直接对数据库中的标签数据进行操作。　翘　

参考文献　

…丁振华，李锦涛．ＲＦＩＤ中间件研究进展Ⅱ］．计算机工程，２００６，１１．　

［２］陈丽华．ＲＦＩＤ中间件设计与关键技术的研究［ＤＩ．南宁：广西大　

学，２００６．　

［３］李玉凤，王大志．ＲＦＩＤ中央控制器的设计与研究ｆＤ】．沈阳：沈阳　

理工大学，２００９．　

［４］游占清，李苏剑．无线射频识别技术理论与应用（Ｍ１．北京：电子　

工业出版社．２００５．　

（作者单位：北京理工大学珠海学院）　

信息系统工程Ｉ　２０１　１．４．２０　６７