ASP.NET+SQLSERVER技術(shù)建站安全性淺談

肖寧　馬曉榮

[摘要] 為增強(qiáng)網(wǎng)站安全從網(wǎng)站設(shè)計(jì)者角度探討ASP.NET+SQLSERVER設(shè)計(jì)網(wǎng)站時(shí)易出現(xiàn)的安全問題并給出相應(yīng)方法。

[關(guān)鍵詞] 網(wǎng)站 安全

隨著B/S應(yīng)用的發(fā)展，更多的程序員用ASP.NET+SQLSERVER開發(fā)網(wǎng)站。ASP.NET是全新的創(chuàng)建動(dòng)態(tài)web內(nèi)容的服務(wù)器端技術(shù)，SQLSERVER是基于服務(wù)器端的企業(yè)級(jí)數(shù)據(jù)庫，用于大容量數(shù)據(jù)和大流量網(wǎng)站，在安全性、效率等方面比Access強(qiáng)大的多。故將SQLSERVER與ASP.NET結(jié)合是目前大中型網(wǎng)站建設(shè)的首選。其伴隨的安全問題也日益被關(guān)注。若在開發(fā)時(shí)就對(duì)常見安全漏洞有預(yù)見，并預(yù)防，可大大降低構(gòu)建安全網(wǎng)站成本，使網(wǎng)站更有效地應(yīng)對(duì)攻擊。

ASP.NET +SQLSERVER常見安全問題

1.數(shù)據(jù)庫泄密

數(shù)據(jù)庫是網(wǎng)站運(yùn)營的基礎(chǔ)，密碼等重要信息若以明文存于庫，一旦被入侵就可對(duì)信息進(jìn)行破壞。

2.繞過注冊(cè)頁隱患

用表單交互時(shí)內(nèi)容可能會(huì)反映到地址欄，若未采取措施，記下這些內(nèi)容就可繞過驗(yàn)證直接進(jìn)入頁面。如在瀏覽器中敲入“bk.aspx？id=3”，則繞過表單頁直接進(jìn)入“id=3”的bk.aspx頁。

3. SQL注入

4.輸入惡意腳本

5.暴力破解登錄密碼

開發(fā)者在用戶密碼的驗(yàn)證代碼中未考慮到惡意用戶會(huì)暴力破解密碼。

6.文件上傳漏洞

文件上傳可用fileupload控件輕松實(shí)現(xiàn)，但若缺少對(duì)提交文檔的檢查，網(wǎng)頁木馬或帶病毒的文件就可能被上傳。

ASP.NET+SQLSERVER安全問題對(duì)策

1.數(shù)據(jù)庫泄密對(duì)策

2.繞過注冊(cè)頁對(duì)策

3.防SQL注入

4.消除惡意腳本

5.暴力破解密碼對(duì)策

增加隨機(jī)碼校驗(yàn)，將它與用戶名密碼組合可增加破解難度；還可設(shè)置最多登錄數(shù)，若超過閥值就可鎖定或跳到指定頁。

6.文件上傳安全對(duì)策

本文從開發(fā)者角度指出ASP.NET+SQLSERVER方案中易出現(xiàn)的安全問題并給出對(duì)策，對(duì)開發(fā)安全網(wǎng)站有較強(qiáng)的指導(dǎo)作用。

參考文獻(xiàn)：

[1]周維霞.基于ASP.NET的網(wǎng)站設(shè)計(jì)安全問題研究[J].電腦知識(shí)與技術(shù)，2009，5.

[2]李婷.ASP.NET網(wǎng)站中SQL注入攻擊及防范[J].科技資訊，2010，34.

[3]李楊.網(wǎng)站安全漏洞解析[J].四川兵工學(xué)報(bào)，2012，33.

作者單位：陜西職業(yè)技術(shù)學(xué)院計(jì)算機(jī)系 陜西西安