• / 16
  • 下载费用:5 金币  

6ASP漏洞分析.ppt

关 键 词:
ASP 漏洞 分析
资源描述:
ASP漏洞分析,小组成员:管延鑫 2015141065荆路友 2015141066王能文 2015141049项维康 2015141062,目录,ASP简介,1,ASP工作机理,2,ASP安全优点,3,ASP漏洞分析,4,CONTENTS,ASP简介,Microsoft Active Server Pages(ASP)是服务器端脚本编写环境,使用它可以创建和运行动态、交互的 Web 服务器应用程序。,使用 ASP 可以组合 HTML 页 、脚本命令和 ActiveX 组件以创建交互的 Web 页和基于 Web 的功能强大的应用程序。,现在很多网站特别是电子商务方面的网站,在前台上大都用ASP来实现。以至于现在ASP在网站应用上很普遍。,ASP工作机理,Client,Web Browser,ASP Application,Internet,Web Browser,Web Server,HTTP Request,,分析、判断该请求是ASP脚本的应用,ASP.DLL,ISAPI接口,获取指定的ASP脚本文件,形成HTML格式的内容,一次完整的ASP脚本调用,ASP的安全优点,用户不能看到ASP的源程序,,微软声称,从ASP的原理上看,ASP在服务端执行并解释成标准的HTML语句,再传送给客户端浏览器。,屏蔽源程序,ASP漏洞分析,ASP是开发网站应用的快速工具,但是有些网站管理员只看到ASP的快速开发能力,却忽视了ASP安全问题。,有些ASP开发者喜欢把密码,有特权的用户名和路径直接写在程序中,这样别人通过猜密码,猜路径,很容易找到攻击系统的“入口”。,ASP从一开始就一直受到众多漏洞,后门的困扰,包括%81的噩梦,密码验证问题,IIS漏洞等等都一直使ASP网站开发人员心惊胆跳。,ASP漏洞分析——ACCESS mdb 数据库问题,问题描述:在用ACCESS做后台数据库时,如果有人通过各种方法知道或者猜到了服务器的ACCESS数据库的路径和数据库名称,那么他能够下载这个ACCESS数据库文件,,比如:如果你的ACCESS数据库book.mdb放在虚拟目录下的database目录下,那么有人在浏览器中打入:    http:// someurl/database/book.mdb如果你的book.mdb数据库没有事先加密的话,那book.mdb中所有重要的数据都会掌握在别人的手中。,ASP漏洞分析——ACCESS mdb 数据库问题,解决方法:1)为你的数据库文件名称起个复杂的非常规的名字,并把他放在多层目录下。所谓“非常规”,比如有个数据库要保存的是有关书籍的信息,可不要把他起个“book.mdb”的名字,起个怪怪的名称,比如d34ksfslf.mdb,再把他放在如./kdslf/i44/studi/ 的几层目录下,这样黑客要想通过猜的方式得到你的ACCESS数据库文件就难上加难了。,2)不要把数据库名写在程序中。有些人喜欢把DSN写在程序中,比如: DBPath = Server.MapPath(" cmddb.mdb" )conn.Open " driver={ Microsoft Access Driver (*.mdb)} ; dbq=" & DBPath     假如万一给人拿到了源程序,你的ACCESS数据库的名字就一览无余。因此建议你在ODBC里设置数据源,再在程序中这样写:  conn.Open connstr,ASP漏洞分析——ACCESS mdb 数据库问题,ASP漏洞分析——ACCESS mdb 数据库问题,3)使用ACCESS来为数据库文件编码及加密,首先选取 工具-> 安全-> 加密/解密数据库,选取数据库(如:Database1.mdb),然后确定,接着会出现数据库加密后另存为的窗口,存为: Database1.mdb 。接着Database1.mdb就会被编码,然后存为Database1.mdb,要注意的是,以上的动作并不是对数据库设置密码,而只是对数据库文件加以编码,目的是为了防止他人使用别的工具来查看数据库文件的内容。接下来我们为数据库加密,首先以打开经过编码了的Database1.mdb,在打开时,选择“独占”方式。然后选取功能表的“工具-> 安全-> 设置数据库密码”,接着输入密码即可。,ASP漏洞分析——ACCESS mdb 数据库问题,3)使用ACCESS来为数据库文件编码及加密,ASP漏洞分析——ACCESS mdb 数据库问题,为Database1.mdb设置密码之后,接下来如果再使用ACCEES数据库文件时,则ACCESS会先要求输入密码,验证正确后才能够启动数据库。不过要在ASP程序中的connection对象的open方法中增加PWD的参数即可,例如: param=”driver={ Microsoft Access Driver (*.mdb)} ; Pwd=yfdsfs” param=param dbq=”& server.mappath(“Database1.mdb”) conn.open param这样即使他人得到了Database1.mdb文件,没有密码他是无法看Database1.mdb的。,ASP漏洞分析——SQL注入漏洞,SQL注入攻击 是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。,对于这个漏洞,我们可以使用一些注入工具,就可以轻松得到大部分有注入漏洞的管理员用户名和密码,速度也相当快,结果也很准确。,ASP漏洞分析——SQL注入漏洞,The Mole 是一款开源的自动化SQL注入工具,其可绕过IPS/IDS(入侵防御系统/入侵检测系统)。只需提供一个URL和一个可用的关键字,它就能够检测注入点并利用。,The Mole 可以使用union注入技术和基于逻辑查询的注入技术。The Mole 攻击范围包括SQL Server、MySQL、Postgres和Oracle数据库。,ASP漏洞分析——SQL注入漏洞,解决方案:1.所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。当前几乎所有的数据库系统都提供了参数化SQL语句执行接口,使用此接口可以非常有效的防止SQL注入攻击。2. 对进入数据库的特殊字符('"\尖括号等)进行转义处理,或编码转换。3. 严格限制变量类型,比如整型变量就采用intval()函数过滤,数据库中的存储字段必须对应为int型。4. 数据长度应该严格规定,能在一定程度上防止比较长的SQL注入语句无法正确执行。5. 网站每个数据层的编码统一,建议全部使用UTF-8编码,上下层编码不一致有可能导致一些过滤模型被绕过。,THANK YOU!,
展开阅读全文
1
  金牌文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

关于本文
本文标题:6ASP漏洞分析.ppt
链接地址:http://www.gold-doc.com/p-257106.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服客服 - 联系我们
copyright@ 2014-2018 金牌文库网站版权所有
经营许可证编号:浙ICP备15046084号-3
收起
展开