基于檔案網(wǎng)站的ASP技術(shù)安全分析

何保榮　李建榮

摘 要：根據(jù)網(wǎng)站開發(fā)和網(wǎng)站安全管理工作的總結(jié)，針對檔案網(wǎng)站漏洞問題，文章分別從登錄網(wǎng)站、網(wǎng)站數(shù)據(jù)庫、網(wǎng)站開發(fā)設(shè)計(jì)三個(gè)方面進(jìn)行了安全分析，并指出了相關(guān)安全措施，降低網(wǎng)絡(luò)存在風(fēng)險(xiǎn)，以期達(dá)到檔案網(wǎng)站安全穩(wěn)定地運(yùn)轉(zhuǎn)。

關(guān)鍵詞：檔案網(wǎng)站；安全技術(shù)；網(wǎng)站漏洞

當(dāng)前各級檔案部門都建立了自己的網(wǎng)站，利用互聯(lián)網(wǎng)的巨大傳播能力，使檔案資源突破了時(shí)空的限制，更加方便高效地為社會提供優(yōu)質(zhì)、便捷的服務(wù)。但是，網(wǎng)絡(luò)安全環(huán)境不容樂觀。如何保障網(wǎng)站安全穩(wěn)定地運(yùn)轉(zhuǎn)，成為檔案界、檔案網(wǎng)站開發(fā)和管理人員不斷思考和研究的課題。讀了梁惠卿先生的《檔案網(wǎng)站安全風(fēng)險(xiǎn)分析與應(yīng)對——以網(wǎng)絡(luò)攻擊為例》（《檔案管理》2016年第4期）一文后，覺得很有道理。再聯(lián)系到實(shí)際工作中的一些現(xiàn)象，在登錄網(wǎng)站、網(wǎng)站數(shù)據(jù)庫、網(wǎng)站開發(fā)設(shè)計(jì)三個(gè)方面筆者都有不同看法，特撰寫此文，與之商榷。

1 登錄網(wǎng)站的安全技術(shù)方面

《梁文》認(rèn)為“攻擊類型的黑客雖然占比數(shù)量很少，但危害極大，是我們應(yīng)當(dāng)重點(diǎn)防范的對象”。[1]筆者認(rèn)為，網(wǎng)站管理只有輸入了正確的賬號和密碼才能登錄網(wǎng)站后臺的關(guān)鍵，這才是檔案網(wǎng)站防范的重點(diǎn)。

1.1 關(guān)于賬號和密碼。大家知道， Windows 操作系統(tǒng)的超級用戶賬號默認(rèn)是Administrator，所以很多程序員都習(xí)慣為管理員命名類似root、Administrator、Admin 等賬號，這樣的賬號很容易被人猜測到，非常不安全。賬號和密碼一旦被入侵者竊取，網(wǎng)站就完全被入侵者控制。為了避免這一事故的發(fā)生，首先一定不要用傳統(tǒng)的命名方法對賬號命名，避免入侵者通過猜測的方法獲得。其次，對輸錯(cuò)賬號和密碼的次數(shù)要有限制，例如，一天之內(nèi)不能輸錯(cuò)三次等，避免入侵者通過猜測獲得賬號和密碼。

1.2 關(guān)于繞過用戶驗(yàn)證。檔案網(wǎng)站的有些機(jī)密信息網(wǎng)頁，只能對某些人員開放。所以要進(jìn)入這些頁面，必須經(jīng)過一個(gè)身份驗(yàn)證，沒有合法身份的用戶是不能進(jìn)入的。但是，要是這些網(wǎng)頁沒有跟身份驗(yàn)證的頁面進(jìn)行綁定的話，入侵者如果獲得了機(jī)密信息頁面的文件名，就可以直接在地址欄輸入后臺管理網(wǎng)頁的完全路徑，繞過用戶的身份驗(yàn)證，直接進(jìn)入到內(nèi)容信息的頁面。如果這樣，用戶驗(yàn)證就成了擺設(shè)。所以，設(shè)計(jì)網(wǎng)站時(shí)，應(yīng)該把登錄頁面與重要信息頁面進(jìn)行綁定，只有通過了相關(guān)登錄頁面的合法身份驗(yàn)證的用戶才能進(jìn)入相關(guān)重要信息頁面，凡是沒有通過登錄、匿名直接進(jìn)入頁面的用戶，就會自動返回登錄頁面，必須通過登錄才可以進(jìn)入網(wǎng)站。這樣入侵者就無法繞過用戶驗(yàn)證而直接進(jìn)入機(jī)密信息網(wǎng)頁。

1.3 關(guān)于后臺管理登錄頁面文件名。為了方便管理網(wǎng)站數(shù)據(jù)，一般都會設(shè)計(jì)一個(gè)后臺管理頁面。方便管理員不受時(shí)間和空間的限制，隨時(shí)都能對網(wǎng)站實(shí)施管理，實(shí)現(xiàn)對網(wǎng)站信息的添加、刪除、修改、更新等操作。后臺管理頁面雖然給網(wǎng)站管理員提供了極大的方便，但是入侵者如果通過猜測的方法，或者通過管理員登錄過的電腦，利用IE 中的“歷史”功能，一旦獲得后臺管理頁面的文件名稱，就可以進(jìn)入后臺管理頁面，給我們的網(wǎng)站隨時(shí)帶來很大的威脅。為了防止萬一，也可以在IIS中進(jìn)行安全設(shè)置，使登錄頁面和后臺管理頁面只限在某些IP機(jī)上才能打開，如果這樣，入侵者即使得到后臺登錄頁面和后臺管理頁面的文件名，甚至掌握了管理員賬號和密碼，離開指定的幾臺計(jì)算機(jī)，無論如何都無法實(shí)施破壞。

2 基于ASP檔案網(wǎng)站數(shù)據(jù)庫的安全技術(shù)分析

《梁文》提出“‘技防是應(yīng)對網(wǎng)絡(luò)攻擊的最有效方法，通過購買使用性價(jià)比高的安全軟件，及時(shí)升級網(wǎng)站安全系統(tǒng)”[2]。筆者認(rèn)為數(shù)據(jù)庫是數(shù)據(jù)的聚集區(qū)，它不僅包含了檔案網(wǎng)站的所有信息，也包含了賬戶和密碼信息。數(shù)據(jù)庫被人下載，檔案信息和用戶信息就徹底被暴露，后果可想而知。網(wǎng)站安全系統(tǒng)軟件是保護(hù)不了數(shù)據(jù)庫絕對完全的。

2.1 數(shù)據(jù)庫的連接。目前，基于ASP技術(shù)檔案網(wǎng)站一般使用IIS+ASP+SQL server/access 構(gòu)架，如果有人通過各種方法獲得或者猜到數(shù)據(jù)庫的存儲路徑和文件名，那么他就能夠很容易下載這個(gè)access數(shù)據(jù)庫文件，稍微懂點(diǎn)程序設(shè)計(jì)的人都會猜測到在地址欄輸入“URL/database/information.mdb”或“URL/database/xinxi.mdb”， 數(shù)據(jù)庫就可以被下載。因此，對數(shù)據(jù)庫的命名要采用非常規(guī)的命名方法，為access數(shù)據(jù)庫文件起一個(gè)復(fù)雜的名字， 并把它放在幾個(gè)目錄下， 或把擴(kuò)展名改為asp或其他非mdb文件， 這樣黑客要想通過猜的方式得到access數(shù)據(jù)庫文件名就非常困難了。另外數(shù)據(jù)庫連接盡量使用ODBC數(shù)據(jù)源，而不要把數(shù)據(jù)庫名字寫在程序中，否則，假如被黑客拿到了源程序，數(shù)據(jù)庫名將隨ASP源代碼的失密而一同失密， access數(shù)據(jù)庫的路徑和名稱便一覽無余。

即使數(shù)據(jù)庫名字再不可思議，存放數(shù)據(jù)庫的目錄隱藏得再深， 一旦ASP源代碼失密后，也很容易被下載下來。如果使用ODBC數(shù)據(jù)源，例如：conn.open “ODBC-DSN 名”，就不存在這樣的問題，因此，建議程序員在ODBC中設(shè)置數(shù)據(jù)源。

2.2 數(shù)據(jù)的備份與恢復(fù)。由于檔案網(wǎng)站中的大部分?jǐn)?shù)據(jù)屬于不經(jīng)常改寫的信息，還有一部分?jǐn)?shù)據(jù)要經(jīng)常訪問和更新，因此采用增量備份與完全備份相結(jié)合的方式比較合適。部分?jǐn)?shù)據(jù)庫備份可以在歸檔模式下使用，使用歸檔日志進(jìn)行數(shù)據(jù)庫恢復(fù)。由于數(shù)據(jù)庫文件存在不同步，在備份文件復(fù)制到數(shù)據(jù)庫時(shí)需要實(shí)施數(shù)據(jù)庫恢復(fù)，可以在數(shù)據(jù)庫關(guān)閉和數(shù)據(jù)庫運(yùn)行時(shí)進(jìn)行。完全備份一般在數(shù)據(jù)庫正常關(guān)閉之后進(jìn)行，由于構(gòu)成數(shù)據(jù)庫的所有文件都是關(guān)閉的，文件的同步號與當(dāng)前檢驗(yàn)點(diǎn)號一致，不存在不同步問題。因此，在復(fù)制到數(shù)據(jù)庫備份文件后，不需要進(jìn)行數(shù)據(jù)庫恢復(fù)。

數(shù)據(jù)恢復(fù)包括數(shù)據(jù)庫恢復(fù)、數(shù)據(jù)表恢復(fù)、表結(jié)構(gòu)恢復(fù)三個(gè)部分，它們分別實(shí)現(xiàn)對數(shù)據(jù)庫、數(shù)據(jù)表以及表結(jié)構(gòu)的各種恢復(fù)策略。每一個(gè)部分可以利用系統(tǒng)正常運(yùn)行時(shí)所備份的數(shù)據(jù)包恢復(fù)，也可以利用系統(tǒng)正常運(yùn)行時(shí)所備份的數(shù)據(jù)包恢復(fù)。

3 基于ASP技術(shù)檔案網(wǎng)站開發(fā)設(shè)計(jì)安全技術(shù)設(shè)計(jì)

《梁文》提出“工作時(shí)間內(nèi)隨時(shí)監(jiān)控，發(fā)現(xiàn)攻擊及時(shí)處理。非工作時(shí)間，要做好與工作時(shí)間銜接時(shí)的重點(diǎn)監(jiān)控”。[3]筆者認(rèn)為，檔案網(wǎng)站在開發(fā)時(shí)加入相應(yīng)的安全設(shè)計(jì)可以避免繁瑣的人工處理環(huán)節(jié)。

3.1 嚴(yán)格地驗(yàn)證用戶輸入數(shù)據(jù)的合法性。由于“SQL注入”是一種廣為人知的攻擊類型，攻擊者可以在輸入域中插入特殊字符，改變SQL查詢的本意，欺騙數(shù)據(jù)庫服務(wù)器執(zhí)行惡意的查詢，甚至刪除、修改數(shù)據(jù)庫。[4]要抵御SQL注入攻擊，就必須在程序開發(fā)時(shí)，驗(yàn)證用戶輸入的數(shù)據(jù)是否屬于適當(dāng)?shù)臄?shù)據(jù)類型、是否遵循預(yù)設(shè)的格式（特別是郵政編碼、身份證號，電子郵件等有特定格式的數(shù)據(jù)），或者限定輸入的數(shù)據(jù)必須屬于某個(gè)設(shè)定范圍字符的集合，以便過濾掉星號、引號等特殊的、通用的字符。

3.2 關(guān)于inc文件。在檔案網(wǎng)站中，Asp文件中的數(shù)據(jù)庫處理，很多時(shí)候是寫成代碼放在一個(gè)inc文件中，一旦在Asp文件中需要對數(shù)據(jù)庫處理，只要在Asp文件的最前面加上一個(gè)包含inc文件的命令就可以了。[5]如果入侵者利用搜索引擎對網(wǎng)站頁面進(jìn)行查找，很容易定位到inc文件，inc文件的信息就會泄露，網(wǎng)站的數(shù)據(jù)庫信息也會隨之完全暴露。因此，網(wǎng)站程序員必須高度重視inc文件隱患的問題，可以通過對inc文件進(jìn)行加密，或者把inc文件轉(zhuǎn)換成asp文件保存，設(shè)置障礙，使入侵者即便找到了inc文件，也看不到里邊的內(nèi)容，這樣網(wǎng)站的安全性也就自然提高了。

3.3 關(guān)于Script腳本代碼。動態(tài)網(wǎng)站的網(wǎng)頁要對服務(wù)器進(jìn)行交互的操作，特別是對服務(wù)器中數(shù)據(jù)的處理操作，一般都用Script腳本代碼來處理。[5]如果把腳本嵌入到htm或html網(wǎng)頁中，這些文件在客戶端是直接可以瀏覽的，那么Script腳本代碼就完全暴露了。所以盡量不要把Script腳本代碼直接寫到網(wǎng)頁文件中，最好把Script腳本代碼寫到獨(dú)立的包含文件中，特別是對服務(wù)器處理的比較重要的Script腳本代碼，以免把服務(wù)器的信息和數(shù)據(jù)庫的信息泄露給入侵者。

3.4 盡量使用存儲過程和視圖替代SQL查詢語句。由于存儲過程最明顯的優(yōu)勢，就是可以控制存儲過程的訪問權(quán)限，沒有權(quán)限的用戶絕對不能訪問它，只有具有相應(yīng)的系統(tǒng)權(quán)限才能夠調(diào)用相應(yīng)的存儲過程，或者只訪問存儲過程而不能夠訪問其中涉及的表或視圖，只通過存儲過程中所給出的功能來間接操作數(shù)據(jù)庫。因此，為了保證數(shù)據(jù)的安全性，在編寫程序代碼的時(shí)候要盡量使用存儲過程。

4 結(jié)束語

為了保證檔案網(wǎng)站的穩(wěn)定安全，網(wǎng)站開發(fā)時(shí)必須在某些安全細(xì)節(jié)上高度注意，養(yǎng)成良好的安全習(xí)慣，盡量避免留下一些安全漏洞；同時(shí)，也要對網(wǎng)站管理員進(jìn)行系統(tǒng)的網(wǎng)站安全知識的培訓(xùn)，使網(wǎng)站管理員有較高的安全防范能力和有很強(qiáng)的安全意識。這樣，雙管齊下，防患于未然，使網(wǎng)站做到真正安全運(yùn)行。

參考文獻(xiàn)：

[1][2][3]梁惠卿.檔案網(wǎng)站安全風(fēng)險(xiǎn)分析與應(yīng)對——以網(wǎng)絡(luò)攻擊為例[J].檔案管理，2016 （04）：82～83.

[4]永興四方科技.服務(wù)器的故障與安全解決方案[M].北京永興四方科技發(fā)展有限公司.2003：2.

[5]馬軍.ASP網(wǎng)絡(luò)編程從入門到精通[M].清華大學(xué)出版社.2006.

（作者單位：河南牧業(yè)經(jīng)濟(jì)學(xué)院軟件學(xué)院 來稿日期：2016-12-14）