ASP漏洞及安全建議

　　一 前言
　　Microsoft Active Server Pages（ASP）是服務器端腳本編寫環境，使用它可以創建和運行動態、交互的 Web 服務器應用程序。使用 ASP 可以組合 HTML 頁 、腳本命令和 ActiveX 組件以創建交互的 Web 頁和基于 Web 的功能強大的應用程序。
現在很多網站特別是電子商務方面的網站，在前臺上大都用ASP來實現。以至于現在ASP在網站應用上很普遍。
ASP是開發網站應用的快速工具，但是有些網站管理員只看到ASP的快速開發能力，卻忽視了ASP安全問題。ASP從一開始就一直受到眾多漏洞，后門的困擾，包括%81的噩夢，密碼驗證問題，IIS漏洞等等都一直使ASP網站開發人員心驚膽跳。
本文試圖從開放了ASP服務的操作系統漏洞和ASP程序本身漏洞，闡述ASP安全問題，并給出解決方法或者建議。
　　
　　二 關鍵字
　　
ASP，網絡安全，IIS，SSL，加密。
　　
　　三 ASP工作機理
　　
　　Active Server Page技術為應用開發商提供了基于腳本的直觀、快速、高效的應用開發手段，極大地提高了開發的效果。在討論ASP的安全性問題之前，讓我們來看看ASP是怎么工作的。ASP腳本是采用明文（plain text）方式來編寫的。
　　
　　ASP腳本是一系列按特定語法（目前支持vbscript和jscript兩種腳本語言）編寫的，與標準HTML頁面混合在一起的腳本所構成的文本格式的文件。當客戶端的最終用戶用WEB瀏覽器通過INTERNET來訪問基于ASP腳本的應用時，WEB瀏覽器將向WEB服務器發出HTTP請求。WEB服務器分析、判斷出該請求是ASP腳本的應用后，自動通過ISAPI接口調用ASP腳本的解釋運行引擎（ASP.DLL）。ASP.DLL將從文件系統或內部緩沖區獲取指定的ASP腳本文件，接著就進行語法分析并解釋執行。最終的處理結果將形成HTML格式的內容，通過WEB服務器“原路”返回給WEB瀏覽器，由WEB瀏覽器在客戶端形成最終的結果呈現。這樣就完成了一次完整的ASP腳本調用。若干個有機的ASP腳本調用就組成了一個完整的ASP腳本應用。
　　讓我們來看看運行ASP所需的環境：
　　Microsoft Internet Information Server 3.0/4.0/5.0 on NT Server
　　Microsoft Internet Information Server 3.0/4.0/5.0 on Win2000
Microsoft Personal Web Server on Windows 95/98
WINDOWS NT Option Pack所帶的Microsoft IIS提供了強大的功能，但是IIS在網絡安全方面卻是比較危險的。因為很少有人會用Windows 95/98當服務器，因此本文我更多的從NT中的IIS安全問題來探討。

第 [1] [2] [3] [4] [5] [6] 頁 下一頁

原文轉自：http://www.anti-gravitydesign.com