注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

业精于专,成于广

slow down & keep thinking

 
 
 

日志

 
 

ASP安全漏洞及防护方法(一)  

2006-08-02 20:42:29|  分类: 完全CS |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
ASP及其安全问题概述
  
  ASP(Active Server Pages)是一种服务器端脚本编写环境,它可以创建和运行动态、交互的Web服务器应用程序。
  ASP的工作原理:当客户端用Web浏览器访问基于ASP脚本的应用程序时,浏览器将向Web服务器发出HTTP请求。Web服务器分析、判断出该请求是ASP脚本的应用后,自动通过ISAPI(服务器应用编程接口)调用ASP脚本的解释运行引擎(ASP.DLL)。ASP.DLL将从文件系统或内部缓冲区获取指定的ASP脚本文件,接着就进行语法分析并解释执行。最终的处理结果将形成HTML格式的内容,并返回给浏览器,在客户端形成最终的结果呈现。这样就完成了一次完整的ASP脚本调用。
  ASP程序的运行环境:Windows 95/98+PWS或Windows NT+IIS。当前应用中常见的是Windows 2000/2003和IIS 5.0/6.0的搭配,而Windows 98和PWS已较少使用。
  ASP的安全性:由于设计上的缺陷和运行环境的安全问题,ASP一直受到一系列安全漏洞的困扰。鉴于ASP应用的普遍性,有必要对其安全问题进行专门研究以寻求解决办法。

  通过查阅网上资料,并经过大量的总结和筛选,我将已知的ASP安全漏洞大致分为以下几类:
(1)IIS安全漏洞:包括文件名错误解码、D.o.S攻击、可导致ASP源代码泄露的漏洞等;
(2)Access数据库漏洞:包括暴露数据库地址和数据库下载漏洞;
(3)SQL注入漏洞;
(4)登录验证漏洞:包括密码验证、绕过验证直接进入页面、POST攻击、伪造Cookies和Session的漏洞等;
(5)其它ASP安全漏洞:如文件上传和ASP木马、脚本攻击等。
下面将选择其中的几种常见漏洞进行详细分析。

(待续,节选自我的毕业设计论文,请勿转载!)
  评论这张
 
阅读(47)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018