如何配置安全的 ASP 應用程式

來源:互聯網
上載者:User
安全|程式

asp 應用程式的安全

千萬不要輕視正確配置安全設定的重要性。如果不正確配置安全設定,不但會使您的 asp 應用程式遭受不必要的篡改,而且會妨礙正當使用者訪問您的 .asp 檔案。

網頁伺服器提供了各種方法來保護您的 asp 應用程式免受未授權的訪問和篡改。在您讀完本主題下的安全資訊之後,請花一定的時間仔細檢查一下您的 windows nt 和 網頁伺服器安全性文檔。詳細資料,請參閱 安全性。

---ntfs 許可權

您可以通過為單獨的檔案和目錄應用 ntfs 存取權限來保護 asp 應用程式檔案。ntfs 許可權是 網頁伺服器安全性的基礎,它定義了一個或一組使用者訪問檔案和目錄的不同層級。當擁有 windows nt 有效帳號的使用者試圖訪問一個有許可權限制的檔案時,電腦將檢查檔案的 存取控制表 (acl)。該表定義了不同使用者和使用者組所被賦予的許可權。如果使用者的帳號具有開啟檔案的許可權,電腦則允許該使用者訪問檔案。例如,網頁伺服器上的 web 應用程式的所有者需要有“更改”許可權來查看、更改和刪除應用程式的 .asp 檔案。但是,訪問該應用程式的公用使用者應僅被授予“唯讀”許可權,以便將其限制為只能查看而不能更改應用程式的 web 頁。

---維護 global.asa 的安全

為了充分保護 asp 應用程式,一定要在應用程式的 global.asa 檔案上為適當的使用者或使用者組設定 ntfs 檔案許可權。如果 global.asa 包含向瀏覽器返回資訊的命令而您沒有保護 global.asa 檔案,則資訊將被返回給瀏覽器,即便應用程式的其他檔案被保護。有關配置 ntfs 許可權的詳細資料,請參閱 存取控制。

注意: 一定要對應用程式的檔案應用統一的 ntfs 許可權。例如,如果您不小心過度限制了一應用程式需要包含的檔案的 ntfs 許可權,則使用者可能無法查看或運行該應用程式。為了防止此類問題,在為您的應用程式分配 ntfs 許可權之前應仔細計劃。

---網頁伺服器許可權

您可以通過配置您的 網頁伺服器的許可權來限制所有使用者查看、運行和操作您的 asp 頁的方式。不同於 ntfs 許可權提供的控制特定使用者對應用程式檔案和目錄的訪問方式, 網頁伺服器許可權應用於所有使用者,並且不區分使用者帳號的類型。

對於要運行您的 asp 應用程式的使用者,在設定 網頁伺服器許可權時,必須遵循下列原則:

對包含 .asp 檔案的虛擬目錄允許“讀”或“指令碼”許可權。對 .asp 檔案和其他包含指令碼的檔案(如 .htm 檔案等)所在的虛目錄允許“讀”和“指令碼”許可權。對包含 .asp 檔案和其他需要“執行”許可權才能啟動並執行檔案(如 .exe和 .DLL 檔案等)的虛目錄允許“讀”和“執行”許可權。有關配置 網頁伺服器許可權的詳細資料,請參閱 存取控制。

---指令碼對應檔

應用程式的指令碼映射保證了 網頁伺服器不會意外地下載 .asp 檔案的原始碼。例如,即使您為包含了某個 .asp 檔案的目錄設定了“讀”許可權,只要該 .asp 檔案隸屬於某個指令碼映射應用程式,那麼您的 網頁伺服器就不會將該檔案的原始碼返回給使用者。

---cookie 安全性

asp 使用 sessionid cookie 跟蹤應用程式訪問或會話期間特定的 網頁瀏覽器的資訊。這就是說,帶有相應的cookie 的 http 請求被認為是來自同一 網頁瀏覽器。網頁伺服器可以使用 sessionid cookies 配置帶有使用者特定會話資訊的 asp 應用程式。例如,如果您的應用程式是一個允許使用者選擇和購買 cd 唱盤的聯機音樂市集,就可以用sessionid 跟蹤使用者漫遊整個應用程式時的選擇。

---sessionid 能否被駭客猜中?

為了防止電腦駭客猜中 sessionid cookie 並獲得對合法使用者的會話變數的訪問,網頁伺服器為每個 sessionid 指派一個隨機組建編號碼。每當使用者的 網頁瀏覽器返回一個 sessionid cookie 時,伺服器取出 sessionid 和被賦予的數字,接著檢查是否與儲存在伺服器上的組建編號碼一致。若兩個號碼一致,將允許使用者訪問會話變數。這一技術的有效性在於被賦予的數位長度(64 位元),此長度使電腦駭客猜中 sessionid 從而竊取使用者的活動會話的可能性幾乎為 0。

---加密重要的 sessionid cookie

截獲了使用者 sessionid cookie 的電腦駭客可以使用此 cookie 假冒該使用者。如果 asp 應用程式套件組合含私人資訊,信用卡或銀行帳戶號碼,擁有竊取的 cookie 的電腦駭客就可以在應用程式中開始一個活動會話並擷取這些資訊。您可以通過對您的 網頁伺服器和使用者的瀏覽器間的通訊鏈路加密來防止 sessionid cookie 被截獲。有關加密的詳細資料,請參閱 安全性。

---使用身分識別驗證機制保護被限制的 asp 內容

您可以要求每個試圖訪問被限制的 asp 內容的使用者必須要有有效 windows nt 帳號的使用者名稱和密碼。每當使用者試圖訪問被限制的內容時,網頁伺服器將進行身分識別驗證,即確認使用者身份,以檢查使用者是否擁有有效 windows nt 帳號。

網頁伺服器支援以下幾種身分識別驗證方式:

基本驗證 提示使用者輸入使用者名稱和密碼。windows nt 請求/響應式身分識別驗證 從使用者的 網頁瀏覽器通過加密方式擷取使用者身份資訊。

然而,網頁伺服器僅當禁止匿名訪問或 windows nt 檔案系統的許可權限制匿名訪問時才驗證使用者身份。詳細資料,請參閱 關於身分識別驗證。

[1] [2] [3] [4] 下一頁  



相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。