探討維護ASP應(yīng)用程序的安全性

　　計算機畢業(yè)論文的可選范圍很大，下面給大家?guī)�來的是計算機應(yīng)用畢業(yè)論文——探討維護ASP應(yīng)用程序的安全性，希望大家喜歡!

　　摘要：正確配置安全設(shè)置，以保護您的ASP應(yīng)用程序不被未授 權(quán)的用戶訪問和篡改。該文提供了多種維護ASP應(yīng)用程序的方法。關(guān)鍵字：ASP 安全性 Web服務(wù)器

　　ASP是位于服務(wù)器端的腳本運行環(huán)境，通過這種環(huán)境，用戶可以創(chuàng)建和運行動態(tài)的交互式Web 服務(wù)器應(yīng)用程序。ASP使用的ActiveX技術(shù)基于開放設(shè)計環(huán)境，用戶可以自己定義和制作組件 加入其中，使自己的動態(tài)網(wǎng)頁幾乎具有無限的擴充能力。ASP還可利用ADO方便快捷地訪問數(shù) 據(jù)庫,從而使得開發(fā)基于WWW的應(yīng)用系統(tǒng)成為可能。但是，千萬不要輕視正確配置安全設(shè)置的 重要性。如果不正確配置安全設(shè)置，不但會使您的ASP應(yīng)用程序遭受不必要的篡改，而且會 妨礙正當(dāng)用戶訪問您的asp文件。Web服務(wù)器提供了各種方法，保護您的ASP應(yīng)用程序不被 未授權(quán)的用戶訪問和篡改。

　　1 NTFS 權(quán)限

　　您可以通過單獨的文件和目錄應(yīng)用NTFS訪問權(quán)限來保護ASP應(yīng)用程序文件。NTFS 權(quán)限是We b服務(wù)器安全性的基礎(chǔ)，它定義了一個或一組用戶訪問文件和目錄的不同級別。當(dāng)擁有Windo ws NT 有效帳號的用戶試圖訪問一個有權(quán)限限制的文件時，計算機將檢查文件的訪問控制表 。該表定義了不同用戶和用戶組所被賦予的權(quán)限。如果用戶的帳號具有打開文件的權(quán)限，計 算機則允許該用戶訪問文件。

　　2 維護Globalasa的安全

　　為了充分保護 ASP 應(yīng)用程序，一定要在應(yīng)用程序的Globalasa文件上為適當(dāng)?shù)挠脩艋蛴脩?組設(shè)置NTFS文件權(quán)限。如果Globalasa包含向瀏覽器返回信息的命令而您沒有保護 Global asa文件，則信息將被返回給瀏覽器，即便應(yīng)用程序的其他文件被保護。而且，一定 要對應(yīng)用程序的文件應(yīng)用統(tǒng)一的NTFS權(quán)限。

　　3 Web 服務(wù)器權(quán)限

　　可以通過配置的Web服務(wù)器的權(quán)限來限制所有用戶查看、運行和操作的ASP頁的方式。不同于 NTFS權(quán)限提供的控制特定用戶對應(yīng)用程序文件和目錄的訪問方式，Web服務(wù)器權(quán)限應(yīng)用于所 有用戶，并且不區(qū)分用戶帳號的類型。對于要運行您的ASP應(yīng)用程序的用戶，在設(shè)置Web服務(wù) 器權(quán)限時，必須遵循下列原則：

　　對包含 asp文件的虛擬目錄允許“讀”或“腳本”權(quán)限;對 asp文件和其他包含腳本的文 件所在的虛目錄允許“讀”或“腳本”權(quán)限;對包含 asp文件和其他需要“執(zhí)行”權(quán)限才 能運行的文件的虛目錄允許“讀”和“執(zhí)行”權(quán)限。

　　4 腳本映射文件

　　應(yīng)用程序的腳本映射保證了Web服務(wù)器不會意外地下載 asp文件的源代碼。例如，即使您為 包含了某個 asp文件的目錄設(shè)置了“讀”權(quán)限，只要該 asp文件隸屬于某個腳本映射應(yīng)用 程序，那么您的Web服務(wù)器就不會將該文件的源代碼返回給用戶。

　　5 Cookie 安全性

　　ASP 使用SessionID cookie跟蹤應(yīng)用程序訪問或會話期間特定的Web瀏覽器的信息。這就是 說，帶有相應(yīng)的 cookie 的 HTTP 請求被認(rèn)為是來自同一Web瀏覽器。Web服務(wù)器可以使用Se ssionID cookies 配置帶有用戶特定會話信息的ASP應(yīng)用程序。

　　5.1 SessionID能否被黑客猜中

　　為了防止計算機黑客猜中SessionID cookie并獲得對合法用戶的會話變量的訪問，Web 服務(wù) 器為每個SessionID指派一個隨機生成號碼。

　　每當(dāng)用戶的Web瀏覽器返回一個 SessionID coo kie時，服務(wù)器取出SessionID和被賦予的數(shù)字，接著檢查是否與存儲在服務(wù)器上的生成號碼 一致。若兩個號碼一致，將允許用戶訪問會話變量。這一技術(shù)的有效性在于被賦予的數(shù)字的 長度(64 位)，此長度使計算機黑客猜中SessionID從而竊取用戶的活動會話的可能性幾乎 為0。

　　5.2 加密重要的SessionID Cookie

　　截獲了用戶sessionID cookie的計算機黑客可以使用此cookie假冒該用戶。如果ASP應(yīng)用程 序包含私人信息，信用卡或銀行帳戶號碼，擁有竊取的cookie的計算機黑客就可以在應(yīng)用程 序中開始一個活動會話并獲取這些信息。您可以通過對您的Web服務(wù)器和用戶的瀏覽器間的 通訊鏈路加密來防止SessionID cookie被截獲�！　�

    6 使用身份驗證機制保護被限制的ASP內(nèi)容

　　您可以要求每個試圖訪問被限制的ASP內(nèi)容的用戶必須要有有效的Windows NT帳號的用戶名 和密碼。每當(dāng)用戶試圖訪問被限制的內(nèi)容時，Web服務(wù)器將進行身份驗證，即確認(rèn)用戶身份 ，以檢查用戶是否擁有有效的Windows NT帳號。Web服務(wù)器支持以下幾種身份驗證方式：

　　6.1 基本身份驗證 提示用戶輸入用戶名和密碼

　　Windows NT請求/響應(yīng)式身份驗證 從用戶的Web瀏覽器通過加密方式獲取用戶身份信息。 然 而，Web服務(wù)器僅當(dāng)禁止匿名訪問或Windows NT文件系統(tǒng)的權(quán)限限制匿名訪問時才驗證用戶 身份。

　　6.2 保護元數(shù)據(jù)庫

　　訪問元數(shù)據(jù)庫的ASP腳本需要Web服務(wù)器所運行的計算機的管理員權(quán)限。在從遠程計算機上運 行這些腳本時，須經(jīng)已通過身份驗證的連接，如使用 Windows NT 請求/響應(yīng)驗證方式進行 連接。應(yīng)該為管理級 asp文件創(chuàng)建一個服務(wù)器或目錄并將其目錄安全驗證方式設(shè)置為 Wind ows NT 請求/響應(yīng)式身份驗證。目前，僅 Microsoft Internet Explorer version 20 或 更高版本支持Windows NT請求/響應(yīng)式身份驗證。

　　7 使用SSL維護應(yīng)用程序的安全

　　SSL 協(xié)議作為Web服務(wù)器安全特性，提供了一種安全的虛擬透明方式來建立與用戶的加密通 訊連接。SSL保證了Web內(nèi)容的驗證，并能可靠地確認(rèn)訪問被限制的Web站點的用戶的身份。

　　7.1 通過SSL可以被限制的程序

　　(1)通過SSL，您可以要求試圖訪問被限制的ASP應(yīng)用程序的用戶與您的服務(wù)器建立一個加密 連接;以防用戶與應(yīng)用程序間交換的重要信息被截取。

　　7.2 維護包含文件的安全

　　如果您從位于沒有保護的虛擬根目錄中的 asp文件中包含了位于啟用了SSL的目錄中的文件 ，則SSL將不被應(yīng)用于被包含文件。因此，為了保證應(yīng)用SSL，應(yīng)確保包含及被包含的文件都 位于啟用了SSL的目錄中。

　　7.3 客戶資格認(rèn)證

　　控制對您的ASP應(yīng)用程序訪問的一種十分安全的方法是要求用戶使用客戶資格登錄�？蛻糍Y 格是包含用戶身份信息的數(shù)字身份證。用戶通常從委托的第三方組織獲得客戶資格，第三方 組織在發(fā)放資格證之前確認(rèn)用戶的身份信息。 每當(dāng)用戶試圖登錄到需要資格驗證的應(yīng)用程序時，用戶的Web瀏覽器會自動向服務(wù)器發(fā)送用 戶資格。如果Web服務(wù)器的SSL資格映射特性配置正確，那么服務(wù)器就可以在許可用戶對ASP 應(yīng)用程序訪問之前對其身份進行確認(rèn)。

　　8 創(chuàng)建事務(wù)性腳本

　　應(yīng)用程序常常需要具有在事務(wù)內(nèi)部運行腳本和組件的能力。事務(wù)是一種服務(wù)器操作，即使該 操作包括很多步驟，也只能整體返回操作是成功還是失敗。用戶可以創(chuàng)建在事務(wù)內(nèi)部運行的 ASP腳本，如果腳本的任何一部分失敗，整個事務(wù)都將會終止。

【探討維護ASP應(yīng)用程序的安全性】相關(guān)文章：

探討維護ＡＳＰ應(yīng)用程序的安全性論文10-09

中藥應(yīng)用安全性探討10-07

煤礦機電的管理與維護分析探討10-26

探討計算機系統(tǒng)的管理與維護的論文10-11

電氣繼電保護常見故障分析及維護探討10-05

探討《計算機組裝與維護》課程教學(xué)論文10-12

應(yīng)用程序未知異常10-05

關(guān)于計算機軟件工程的維護方法探討的論文10-05

從營銷學(xué)角度探討廈門老字號品牌的維護和提升10-08