ASP網站漏洞解析與黑客入侵防范探究

孫嘉潞

摘要；在分析ASP技術及其主要的技術特點基礎上，探討了ASP漏洞產生的典型原因及黑客入侵的關鍵防范技術措施。同時，從ASP站點遭受木馬攻擊的應對以及Session入侵防范兩個方面分析了ASP網站漏洞的相關防范技術方法，形成了相對完善的黑客入侵防范技術體系。

關鍵詞：ASP；漏洞；黑客防范

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）07-0051-02

在當前Internet與Intranet技術快速發(fā)展以及廣泛應用的基礎上，ASP技術作為Windows環(huán)境下首選的網站開發(fā)與編程技術，其已經受到相關技術人員的重視。雖然ASP技術具有諸多的優(yōu)點，但是其在實際的開發(fā)應用過程中一直受到漏洞較多的影響，導致構建的網頁存在一定的安全隱患。所以，有必要分析導致ASP網絡安全漏洞的主要原因，并提出對應的安全技術措施，保證網頁的安全性，避免給黑客留下可乘之機。

1ASP技術及其技術特點

1.1ASP技術的定義

ASP即為Active Server Pages，其中文意思就是“動態(tài)服務器頁面”。ASP時替代CGI腳本程序而開發(fā)的一種編程應用程序，其可以將數據庫和其他的程序相互的交替使用，逐步發(fā)展成為了當前廣泛應用的一種簡單。便捷的編程工具。與其他的編程工具相比，ASP具有簡單易學，而且由于其是微軟公司開發(fā)，能夠與Windows系統(tǒng)良好兼容，具有良好的軟件生態(tài)環(huán)境，因此其得到了廣泛的應用。但是，其也存在一定的問題，就是其缺陷和漏洞較多，導致其在實際的應用過程中存在較大的安全隱患，需要在編程過程中予以關注，以保證網站的安全穩(wěn)定。

1.2ASP技術的主要特點

ASP技術的主要特點包括這樣三個方面：其一，服務器上的ASP通過其解釋程序實現對服務器端ASP程序的執(zhí)行，使得其產生的結果可以HTML的格式向客戶端的瀏覽器發(fā)送過去，是得所有的終端瀏覽器都能夠從ASP獲得數據，實現瀏覽器功能；其二，由于ASP在實現該功能時是通過執(zhí)行服務器中的相關命令而實現的，然后通過將ASP產生的結果以HITML格式傳遞至瀏覽器當中，因此應用者并不能夠觀察得到應用ASP編寫的原始代碼程序，能夠有效避免代碼被不法人員竊?。黄淙?，ACCESS與SQL數據庫之間能夠進行快捷的數據連接，這使得ASP網頁的響應速度較快，提高了系統(tǒng)的使用體驗。

2ASP漏洞產生的關鍵原因及黑客入侵防范措施

2.1ASP漏洞產生關鍵原因

在設計網站過程中，為了能夠對資源進行充分利用，一臺服務器上通常設置了多個網站。而所有的網站都是由管理人員自主開發(fā)設計的，其代碼的安全性與管理員自身的開發(fā)水平直接相關。有的則是直接購買的商用軟件，與自主開發(fā)的軟件相比，其安全性較佳，而且補丁更新也更快。部分則是在網上直接下載免費版本，導致網站代碼的安全性差，甚至下載的軟件被人植入了后門。這些因素使得網站的代碼來源極為復雜，使得開發(fā)人員的水平成為了影響站點安全性的主要因素。因此，想要從外部預防所有存在的代碼漏洞基本不可能，而只能夠內部加以考慮。這時，若黑客進入網站，并在其中植入木馬，如何才能將其破壞力降至最低？

在實際的應用過程中，一般使用設置權限的方式來達到該目的。所謂計算機操作系統(tǒng)權限是指不同的用戶賬戶對不同類型的文件、文件夾以及注冊表的訪問能力是不同，通過設置不同類型的用戶群體減少出現風險的概率。例如，一個系統(tǒng)默認的匿名賬戶為IUSR，其是在Users用戶組中構建的賬號，通常情況下，服務器上網站的身份均為IUSR。當其中的網站遭到黑客入侵之后，受到Users權限組的限制，能夠將其破壞限制在較小的區(qū)間范圍中。

2.2ASP網站黑客入侵防范措施分析

2.2.1新建賬戶殛指定網站的啟動賬戶

任何一個網站都與一個啟動賬戶相對應，在后期的維護和管理過程中，需要對這些賬戶進行統(tǒng)一的權限操作和管理，在賬戶構建過程中，若采取對注冊表訪問權限進行設置的方式，還需要采取新建用戶組的方式，例如重新構建IIS_guests用戶組，將同類型的所有賬號都加入其中。具體的操作為：在IIS管理器當中添加網站，在彈出的選項卡當中點擊“傳遞身份證驗證”中的“連接為”按鈕，然后選擇對應的用戶，確認設置，并將構建的用戶名及對應的密碼輸入，確定即可。在建站完成之后，系統(tǒng)將給每一個站點都自動的構建一個相應的應用程序池，其具體的運行身份即為之初構建的賬戶，即每個應用程序池都與一個IIS工作進程相對應，每一個在任務管理器中的網站就對應一個進程。通常，在一個ASP網站中，就完成了一個網站啟動賬戶的設置。通過完成后續(xù)操作，就能夠完成所有的站點安全構建；

1）如果ASP站點的開發(fā)是在非.Net4.0框架下進行的，則需要將所有應用程序池的托管模式從之前默認的“集成”修改成為“經典”的模式；2）將網站中的IIS設置項的“ASP.NET模擬”選項設置為啟動；3）最后，需要設置對應的，賬戶讀寫權限，完成啟動賬戶的設置，使用如下代碼實現：“C：＼Windows＼Microsoft.NET＼Framework＼v2.0.50727＼Temporary ASP.NET Files”。

2.2.2設置文件和文件夾的訪問權限

新建的賬戶通常都是authenticated users用戶組，而authenticated users又是Users用戶組，所以及時將新建的用戶從Users用戶組當中刪除，該賬戶依然具有在Users組中的所有權限。因此，為了更進一步的避免黑客入侵該網站對網站服務器中的相關文件造成破壞，還需要對文件和文件夾的訪問權限進行對應的設置：其一，將系統(tǒng)中所有盤符根權限中的Users用戶組以及everyone用戶組的權限都刪除，以免由于指定網站的啟動賬戶默認具有Users用戶組的相關權限，使得黑客不能夠看到服務器中盤符下的相關文件；其二，將所有存放網站目錄的Users用戶組權限刪除，并將相應的啟動賬戶讀取程序添加至其中，通過這種方式使得只有啟動賬戶才能夠訪問該站點中的相關文件；其三，針對access數據庫文件以及能上傳文件的文件夾添加相應的啟動賬戶讀寫權限，保證用戶登錄網站時的安全性。

2.2.3對網站腳本執(zhí)行與注冊表訪問權限進行對應的限制

大部分的網站都具有文件和圖片的上傳功能，而這些功能往往會成為黑客侵入網站，并在其中植入木馬的重要渠道。因為受到權限設置的影響，除了上傳目錄之外，其他的目錄通常是不可寫的，黑客一般只可以將木馬寫入到上傳目錄中。因此，通過關閉上傳目錄中的腳本執(zhí)行功能，能夠一定程度的減少黑客侵入的概率。通常，關閉方法包括：在IIS管理器當中，確定某網站的上傳文件夾，打開其“處理程序映射”的功能選項，然后選擇右側操作子欄中的“編輯功能權限”項目，反選“腳本”選項，使得上傳目錄中的腳本不能夠執(zhí)行即可。

遠程桌面是對服務器進行遠程管理的重要工具，在黑客防范的過程中，應該對默認的3389端口進行修改，以免被黑客所利用。但是，黑客還會通過讀取來自注冊表的方式得到真實的連接端口。這時，就需要設置相應注冊表中的權限功能，例如在[HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentContro]Set＼Con-tro]＼Terminal Server]項中設置該注冊表權限為拒絕讀取。

3ASP網站其他安全問題及防范技術措施

3.1應對ASP站點遭受木馬攻擊的技術措施

1）時間對比方法

所謂的時間對比方法，就是利用對ASP文件進行時間對比、排序的方法對文件進行整理，確定最新修改的文件后，打開并查看文件中的內容，若發(fā)現代碼內容與原始代碼存在差別，則應該將之設定為非法代碼，應該將之刪除。

2）搜尋關鍵字

與其他的計算機病毒類似，ASP阿站木馬具有自身的特征碼，但是ASP木馬應用的是關鍵字，這是其與其他病毒的典型區(qū)別。所以，在黑客防范的過程中可以利用Windows自身具備的搜索功能來查找系統(tǒng)中是否存在帶關鍵字的文件，搜索完成之后對其內容查看，若搜尋得到較大的ASP文件，若使用的為虛擬主機，則通常為數據庫文件。若搜尋獲得的關鍵字為一句話，則其通常為大型的木馬文件。

3）通過瀏覽目錄搜尋木馬

若系統(tǒng)管理人員對網站結構有清晰的認識和了解，則可以通過應用瀏覽目錄的方式來搜尋木馬。若搜尋結果發(fā)現存在無關文件，則不論其是木馬還是垃圾文件，都應該將之刪除。例如，在dvbbs文件下的upfile文件夾當中，這些子文件夾中應該是沒有包含ASP文件的，若搜尋之后發(fā)現存在ASP文件，則應該將之予以刪除。

4）及時進行文件備份

在防范木馬入侵時，文件的備份也是一種有效的防范措施，能夠有效減少黑客入侵造成的損失。但是，該項工作必須在對應的前提條件下進行，例如要保證網站中的文件絕對安全，當黑客入侵時能夠通過還原來保證網站的持續(xù)穩(wěn)定運行。

3.2Session入侵的防范措施

Sesslon是網站服務器中存儲信息量的有效工具，當登錄站點時，其開始工作，而離開站點之后，對應的session將停止工作。這使得其能夠成為黑客入侵的渠道。在防范時，可以采取如下的技術措施：

通常，系統(tǒng)站點的管理人員在輸入登錄指令之后，ASP程序將自動啟動搜索程序，對數據庫當中的列表進行搜尋確認，查找對應的管理人員是否存在，確定之后將分配一個表示其身份特征的session變量，在后續(xù)的所有操作中都將對該變量值進行驗證，若變量值不吻合，則將其引導至登錄界面。通常，黑客會利用植入的木馬編碼及其對服務器中的管理員session值進行操作，從而獲得管理界面的相關操作權限。

對此，具體的防范技術措施為：基本的原則是要避免讓黑客預知獲得session變量名，因此ASP網站應該對其關鍵session值的變量名進行設置時避免應用單一的變量名，而應該使用字符串與隨機數組合的方式來分配變量名，增加黑客入侵的難度。

綜上所述，ASP網站運行關系到用戶的真實體驗，為了保證網站的穩(wěn)定運行，必須從其運行過程中主要遭受木馬攻擊和Session入侵兩個方面著手，采取針對性的防范與應對技術，確保網站的運行穩(wěn)定性。