前言：本站為你精心整理了ＡＳＰ應(yīng)用程序安全性范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

論文關(guān)鍵字：ASP安全性Web服務(wù)器

論文摘要：正確配置安全設(shè)置，以保護(hù)您的ASP應(yīng)用程序不被未授權(quán)的用戶訪問和篡改。該文提供了多種維護(hù)ASP應(yīng)用程序的方法。

ASP是位于服務(wù)器端的腳本運(yùn)行環(huán)境，通過這種環(huán)境，用戶可以創(chuàng)建和運(yùn)行動(dòng)態(tài)的交互式Web服務(wù)器應(yīng)用程序。ASP使用的ActiveX技術(shù)基于開放設(shè)計(jì)環(huán)境，用戶可以自己定義和制作組件加入其中，使自己的動(dòng)態(tài)網(wǎng)頁幾乎具有無限的擴(kuò)充能力。ASP還可利用ADO方便快捷地訪問數(shù)據(jù)庫,從而使得開發(fā)基于WWW的應(yīng)用系統(tǒng)成為可能。但是，千萬不要輕視正確配置安全設(shè)置的重要性。如果不正確配置安全設(shè)置，不但會(huì)使您的ASP應(yīng)用程序遭受不必要的篡改，而且會(huì)妨礙正當(dāng)用戶訪問您的asp文件。Web服務(wù)器提供了各種方法，保護(hù)您的ASP應(yīng)用程序不被未授權(quán)的用戶訪問和篡改。

1NTFS權(quán)限

您可以通過單獨(dú)的文件和目錄應(yīng)用NTFS訪問權(quán)限來保護(hù)ASP應(yīng)用程序文件。NTFS權(quán)限是Web服務(wù)器安全性的基礎(chǔ)，它定義了一個(gè)或一組用戶訪問文件和目錄的不同級(jí)別。當(dāng)擁有WindowsNT有效帳號(hào)的用戶試圖訪問一個(gè)有權(quán)限限制的文件時(shí)，計(jì)算機(jī)將檢查文件的訪問控制表。該表定義了不同用戶和用戶組所被賦予的權(quán)限。如果用戶的帳號(hào)具有打開文件的權(quán)限，計(jì)算機(jī)則允許該用戶訪問文件。

2維護(hù)Globalasa的安全

為了充分保護(hù)ASP應(yīng)用程序，一定要在應(yīng)用程序的Globalasa文件上為適當(dāng)?shù)挠脩艋蛴脩艚M設(shè)置NTFS文件權(quán)限。如果Globalasa包含向?yàn)g覽器返回信息的命令而您沒有保護(hù)Globalasa文件，則信息將被返回給瀏覽器，即便應(yīng)用程序的其他文件被保護(hù)。而且，一定要對(duì)應(yīng)用程序的文件應(yīng)用統(tǒng)一的NTFS權(quán)限。

3Web服務(wù)器權(quán)限

可以通過配置的Web服務(wù)器的權(quán)限來限制所有用戶查看、運(yùn)行和操作的ASP頁的方式。不同于NTFS權(quán)限提供的控制特定用戶對(duì)應(yīng)用程序文件和目錄的訪問方式，Web服務(wù)器權(quán)限應(yīng)用于所有用戶，并且不區(qū)分用戶帳號(hào)的類型。對(duì)于要運(yùn)行您的ASP應(yīng)用程序的用戶，在設(shè)置Web服務(wù)器權(quán)限時(shí)，必須遵循下列原則：

對(duì)包含asp文件的虛擬目錄允許“讀”或“腳本”權(quán)限；對(duì)asp文件和其他包含腳本的文件所在的虛目錄允許“讀”或“腳本”權(quán)限；對(duì)包含asp文件和其他需要“執(zhí)行”權(quán)限才能運(yùn)行的文件的虛目錄允許“讀”和“執(zhí)行”權(quán)限。

4腳本映射文件

應(yīng)用程序的腳本映射保證了Web服務(wù)器不會(huì)意外地下載asp文件的源代碼。例如，即使您為包含了某個(gè)asp文件的目錄設(shè)置了“讀”權(quán)限，只要該asp文件隸屬于某個(gè)腳本映射應(yīng)用程序，那么您的Web服務(wù)器就不會(huì)將該文件的源代碼返回給用戶。

5Cookie安全性

ASP使用SessionIDcookie跟蹤應(yīng)用程序訪問或會(huì)話期間特定的Web瀏覽器的信息。這就是說，帶有相應(yīng)的cookie的HTTP請(qǐng)求被認(rèn)為是來自同一Web瀏覽器。Web服務(wù)器可以使用SessionIDcookies配置帶有用戶特定會(huì)話信息的ASP應(yīng)用程序。

5.1SessionID能否被黑客猜中

為了防止計(jì)算機(jī)黑客猜中SessionIDcookie并獲得對(duì)合法用戶的會(huì)話變量的訪問，Web服務(wù)器為每個(gè)SessionID指派一個(gè)隨機(jī)生成號(hào)碼。

每當(dāng)用戶的Web瀏覽器返回一個(gè)SessionIDcookie時(shí)，服務(wù)器取出SessionID和被賦予的數(shù)字，接著檢查是否與存儲(chǔ)在服務(wù)器上的生成號(hào)碼一致。若兩個(gè)號(hào)碼一致，將允許用戶訪問會(huì)話變量。這一技術(shù)的有效性在于被賦予的數(shù)字的長度（64位），此長度使計(jì)算機(jī)黑客猜中SessionID從而竊取用戶的活動(dòng)會(huì)話的可能性幾乎為0。

5.2加密重要的SessionIDCookie

截獲了用戶sessionIDcookie的計(jì)算機(jī)黑客可以使用此cookie假冒該用戶。如果ASP應(yīng)用程序包含私人信息，信用卡或銀行帳戶號(hào)碼，擁有竊取的cookie的計(jì)算機(jī)黑客就可以在應(yīng)用程序中開始一個(gè)活動(dòng)會(huì)話并獲取這些信息。您可以通過對(duì)您的Web服務(wù)器和用戶的瀏覽器間的通訊鏈路加密來防止SessionIDcookie被截獲。6使用身份驗(yàn)證機(jī)制保護(hù)被限制的ASP內(nèi)容

您可以要求每個(gè)試圖訪問被限制的ASP內(nèi)容的用戶必須要有有效的WindowsNT帳號(hào)的用戶名和密碼。每當(dāng)用戶試圖訪問被限制的內(nèi)容時(shí)，Web服務(wù)器將進(jìn)行身份驗(yàn)證，即確認(rèn)用戶身份，以檢查用戶是否擁有有效的WindowsNT帳號(hào)。Web服務(wù)器支持以下幾種身份驗(yàn)證方式：

6.1基本身份驗(yàn)證提示用戶輸入用戶名和密碼

WindowsNT請(qǐng)求/響應(yīng)式身份驗(yàn)證從用戶的Web瀏覽器通過加密方式獲取用戶身份信息。然而，Web服務(wù)器僅當(dāng)禁止匿名訪問或WindowsNT文件系統(tǒng)的權(quán)限限制匿名訪問時(shí)才驗(yàn)證用戶身份。

6.2保護(hù)元數(shù)據(jù)庫

訪問元數(shù)據(jù)庫的ASP腳本需要Web服務(wù)器所運(yùn)行的計(jì)算機(jī)的管理員權(quán)限。在從遠(yuǎn)程計(jì)算機(jī)上運(yùn)行這些腳本時(shí)，須經(jīng)已通過身份驗(yàn)證的連接，如使用WindowsNT請(qǐng)求/響應(yīng)驗(yàn)證方式進(jìn)行連接。應(yīng)該為管理級(jí)asp文件創(chuàng)建一個(gè)服務(wù)器或目錄并將其目錄安全驗(yàn)證方式設(shè)置為WindowsNT請(qǐng)求/響應(yīng)式身份驗(yàn)證。目前，僅MicrosoftInternetExplorerversion20或更高版本支持WindowsNT請(qǐng)求/響應(yīng)式身份驗(yàn)證。

7使用SSL維護(hù)應(yīng)用程序的安全

SSL協(xié)議作為Web服務(wù)器安全特性，提供了一種安全的虛擬透明方式來建立與用戶的加密通訊連接。SSL保證了Web內(nèi)容的驗(yàn)證，并能可靠地確認(rèn)訪問被限制的Web站點(diǎn)的用戶的身份。

7.1通過SSL可以被限制的程序

(1)通過SSL，您可以要求試圖訪問被限制的ASP應(yīng)用程序的用戶與您的服務(wù)器建立一個(gè)加密連接；以防用戶與應(yīng)用程序間交換的重要信息被截取。

7.2維護(hù)包含文件的安全

如果您從位于沒有保護(hù)的虛擬根目錄中的asp文件中包含了位于啟用了SSL的目錄中的文件，則SSL將不被應(yīng)用于被包含文件。因此，為了保證應(yīng)用SSL，應(yīng)確保包含及被包含的文件都位于啟用了SSL的目錄中。

7.3客戶資格認(rèn)證

控制對(duì)您的ASP應(yīng)用程序訪問的一種十分安全的方法是要求用戶使用客戶資格登錄。客戶資格是包含用戶身份信息的數(shù)字身份證。用戶通常從委托的第三方組織獲得客戶資格，第三方組織在發(fā)放資格證之前確認(rèn)用戶的身份信息。每當(dāng)用戶試圖登錄到需要資格驗(yàn)證的應(yīng)用程序時(shí)，用戶的Web瀏覽器會(huì)自動(dòng)向服務(wù)器發(fā)送用戶資格。如果Web服務(wù)器的SSL資格映射特性配置正確，那么服務(wù)器就可以在許可用戶對(duì)ASP應(yīng)用程序訪問之前對(duì)其身份進(jìn)行確認(rèn)。

8創(chuàng)建事務(wù)性腳本

應(yīng)用程序常常需要具有在事務(wù)內(nèi)部運(yùn)行腳本和組件的能力。事務(wù)是一種服務(wù)器操作，即使該操作包括很多步驟，也只能整體返回操作是成功還是失敗。用戶可以創(chuàng)建在事務(wù)內(nèi)部運(yùn)行的ASP腳本，如果腳本的任何一部分失敗，整個(gè)事務(wù)都將會(huì)終止。