如何配置安全的 ASP 應用程式

安全|程式

asp 應用程式的安全

千萬不要輕視正確配置安全設定的重要性。如果不正確配置安全設定，不但會使您的 asp 應用程式遭受不必要的篡改，而且會妨礙正當使用者訪問您的 .asp 檔案。

網頁伺服器提供了各種方法來保護您的 asp 應用程式免受未授權的訪問和篡改。在您讀完本主題下的安全資訊之後，請花一定的時間仔細檢查一下您的 windows nt 和 網頁伺服器安全性文檔。詳細資料，請參閱 安全性。

---ntfs 許可權

您可以通過為單獨的檔案和目錄應用 ntfs 存取權限來保護 asp 應用程式檔案。ntfs 許可權是 網頁伺服器安全性的基礎，它定義了一個或一組使用者訪問檔案和目錄的不同層級。當擁有 windows nt 有效帳號的使用者試圖訪問一個有許可權限制的檔案時，電腦將檢查檔案的 存取控制表 (acl)。該表定義了不同使用者和使用者組所被賦予的許可權。如果使用者的帳號具有開啟檔案的許可權，電腦則允許該使用者訪問檔案。例如，網頁伺服器上的 web 應用程式的所有者需要有“更改”許可權來查看、更改和刪除應用程式的 .asp 檔案。但是，訪問該應用程式的公用使用者應僅被授予“唯讀”許可權，以便將其限制為只能查看而不能更改應用程式的 web 頁。

---維護 global.asa 的安全

為了充分保護 asp 應用程式，一定要在應用程式的 global.asa 檔案上為適當的使用者或使用者組設定 ntfs 檔案許可權。如果 global.asa 包含向瀏覽器返回資訊的命令而您沒有保護 global.asa 檔案，則資訊將被返回給瀏覽器，即便應用程式的其他檔案被保護。有關配置 ntfs 許可權的詳細資料，請參閱 存取控制。

注意： 一定要對應用程式的檔案應用統一的 ntfs 許可權。例如，如果您不小心過度限制了一應用程式需要包含的檔案的 ntfs 許可權，則使用者可能無法查看或運行該應用程式。為了防止此類問題，在為您的應用程式分配 ntfs 許可權之前應仔細計劃。

---網頁伺服器許可權

您可以通過配置您的 網頁伺服器的許可權來限制所有使用者查看、運行和操作您的 asp 頁的方式。不同於 ntfs 許可權提供的控制特定使用者對應用程式檔案和目錄的訪問方式， 網頁伺服器許可權應用於所有使用者，並且不區分使用者帳號的類型。

對於要運行您的 asp 應用程式的使用者，在設定 網頁伺服器許可權時，必須遵循下列原則：

對包含 .asp 檔案的虛擬目錄允許“讀”或“指令碼”許可權。對 .asp 檔案和其他包含指令碼的檔案（如 .htm 檔案等）所在的虛目錄允許“讀”和“指令碼”許可權。對包含 .asp 檔案和其他需要“執行”許可權才能啟動並執行檔案（如 .exe和 .DLL 檔案等）的虛目錄允許“讀”和“執行”許可權。有關配置 網頁伺服器許可權的詳細資料，請參閱 存取控制。

---指令碼對應檔

應用程式的指令碼映射保證了 網頁伺服器不會意外地下載 .asp 檔案的原始碼。例如，即使您為包含了某個 .asp 檔案的目錄設定了“讀”許可權，只要該 .asp 檔案隸屬於某個指令碼映射應用程式，那麼您的 網頁伺服器就不會將該檔案的原始碼返回給使用者。

---cookie 安全性

asp 使用 sessionid cookie 跟蹤應用程式訪問或會話期間特定的 網頁瀏覽器的資訊。這就是說，帶有相應的cookie 的 http 請求被認為是來自同一 網頁瀏覽器。網頁伺服器可以使用 sessionid cookies 配置帶有使用者特定會話資訊的 asp 應用程式。例如，如果您的應用程式是一個允許使用者選擇和購買 cd 唱盤的聯機音樂市集，就可以用sessionid 跟蹤使用者漫遊整個應用程式時的選擇。

---sessionid 能否被駭客猜中？

為了防止電腦駭客猜中 sessionid cookie 並獲得對合法使用者的會話變數的訪問，網頁伺服器為每個 sessionid 指派一個隨機組建編號碼。每當使用者的 網頁瀏覽器返回一個 sessionid cookie 時，伺服器取出 sessionid 和被賦予的數字，接著檢查是否與儲存在伺服器上的組建編號碼一致。若兩個號碼一致，將允許使用者訪問會話變數。這一技術的有效性在於被賦予的數位長度（64 位元），此長度使電腦駭客猜中 sessionid 從而竊取使用者的活動會話的可能性幾乎為 0。

---加密重要的 sessionid cookie

截獲了使用者 sessionid cookie 的電腦駭客可以使用此 cookie 假冒該使用者。如果 asp 應用程式套件組合含私人資訊，信用卡或銀行帳戶號碼，擁有竊取的 cookie 的電腦駭客就可以在應用程式中開始一個活動會話並擷取這些資訊。您可以通過對您的 網頁伺服器和使用者的瀏覽器間的通訊鏈路加密來防止 sessionid cookie 被截獲。有關加密的詳細資料，請參閱 安全性。

---使用身分識別驗證機制保護被限制的 asp 內容

您可以要求每個試圖訪問被限制的 asp 內容的使用者必須要有有效 windows nt 帳號的使用者名稱和密碼。每當使用者試圖訪問被限制的內容時，網頁伺服器將進行身分識別驗證，即確認使用者身份，以檢查使用者是否擁有有效 windows nt 帳號。

網頁伺服器支援以下幾種身分識別驗證方式：

基本驗證 提示使用者輸入使用者名稱和密碼。windows nt 請求/響應式身分識別驗證 從使用者的 網頁瀏覽器通過加密方式擷取使用者身份資訊。

然而，網頁伺服器僅當禁止匿名訪問或 windows nt 檔案系統的許可權限制匿名訪問時才驗證使用者身份。詳細資料，請參閱 關於身分識別驗證。

[1] [2] [3] [4] 下一頁