ASP應用程序的維護方法

ASP是位於服務器端的腳本運行環境，通過這種環境，用户可以創建和運行動態的交互式Web 服務器應用程序。ASP使用的ActiveX技術基於開放設計環境，用户可以自己定義和製作組件 加入其中，使自己的動態網頁幾乎具有無限的擴充能力。ASP還可利用ADO方便快捷地訪問數 據庫,從而使得開發基於WWW的應用系統成為可能。但是，千萬不要輕視正確配置安全設置的 重要性。如果不正確配置安全設置，不但會使您的ASP應用程序遭受不必要的篡改，而且會 妨礙正當用户訪問您的asp文件。Web服務器提供了各種方法，保護您的ASP應用程序不被 未授權的用户訪問和篡改。

　　1 NTFS 權限

您可以通過單獨的文件和目錄應用NTFS訪問權限來保護ASP應用程序文件。NTFS 權限是We b服務器安全性的基礎，它定義了一個或一組用户訪問文件和目錄的不同級別。當擁有Windo ws NT 有效帳號的用户試圖訪問一個有權限限制的文件時，計算機將檢查文件的訪問控制表 。該表定義了不同用户和用户組所被賦予的權限。如果用户的帳號具有打開文件的權限，計 算機則允許該用户訪問文件。

　　2 維護Global asa的安全

為了充分保護 ASP 應用程序，一定要在應用程序的Global asa文件上為適當的用户或用户 組設置NTFS文件權限。如果Global asa包含向瀏覽器返回信息的命令而您沒有保護 Global asa文件，則信息將被返回給瀏覽器，即便應用程序的其他文件被保護。而且，一定 要對應用程序的文件應用統一的NTFS權限。

　3 Web 服務器權限

可以通過配置的Web服務器的權限來限制所有用户查看、運行和操作的ASP頁的方式。不同於 NTFS權限提供的控制特定用户對應用程序文件和目錄的訪問方式，Web服務器權限應用於所 有用户，並且不區分用户帳號的類型。對於要運行您的ASP應用程序的用户，在設置Web服務 器權限時，必須遵循下列原則：

對包含 asp文件的虛擬目錄允許“讀”或“腳本”權限；對 asp文件和其他包含腳本的文 件所在的虛目錄允許“讀”或“腳本”權限；對包含 asp文件和其他需要“執行”權限才 能運行的文件的虛目錄允許“讀”和“執行”權限。

　　4 腳本映射文件

應用程序的腳本映射保證了Web服務器不會意外地下載 asp文件的源代碼。例如，即使您為 包含了某個 asp文件的目錄設置了“讀”權限，只要該 asp文件隸屬於某個腳本映射應用 程序，那麼您的Web服務器就不會將該文件的源代碼返回給用户。

　　5 Cookie 安全性

ASP 使用SessionID cookie跟蹤應用程序訪問或會話期間特定的Web瀏覽器的信息。這就是 説，帶有相應的 cookie 的 HTTP 請求被認為是來自同一Web瀏覽器。Web服務器可以使用Se ssionID cookies 配置帶有用户特定會話信息的ASP應用程序。

5.1 SessionID能否被黑客猜中

為了防止計算機黑客猜中SessionID cookie並獲得對合法用户的會話變量的訪問，Web 服務 器為每個SessionID指派一個隨機生成號碼。

每當用户的Web瀏覽器返回一個 SessionID coo kie時，服務器取出SessionID和被賦予的數字，接着檢查是否與存儲在服務器上的生成號碼 一致。若兩個號碼一致，將允許用户訪問會話變量。這一技術的有效性在於被賦予的數字的 長度（64 位），此長度使計算機黑客猜中SessionID從而竊取用户的活動會話的可能性幾乎 為0。

5.2 加密重要的SessionID Cookie

截獲了用户sessionID cookie的計算機黑客可以使用此cookie假冒該用户。如果ASP應用程 序包含私人信息，信用卡或銀行帳户號碼，擁有竊取的cookie的計算機黑客就可以在應用程 序中開始一個活動會話並獲取這些信息。您可以通過對您的Web服務器和用户的瀏覽器間的 通訊鏈路加密來防止SessionID cookie被截獲。

　　6 使用身份驗證機制保護被限制的ASP內容

您可以要求每個試圖訪問被限制的ASP內容的用户必須要有有效的Windows NT帳號的用户名 和密碼。每當用户試圖訪問被限制的內容時，Web服務器將進行身份驗證，即確認用户身份 ，以檢查用户是否擁有有效的Windows NT帳號。Web服務器支持以下幾種身份驗證方式：

6.1 基本身份驗證 提示用户輸入用户名和密碼

Windows NT請求/響應式身份驗證 從用户的Web瀏覽器通過加密方式獲取用户身份信息。 然 而，Web服務器僅當禁止匿名訪問或Windows NT文件系統的權限限制匿名訪問時才驗證用户 身份。

6.2 保護元數據庫

訪問元數據庫的ASP腳本需要Web服務器所運行的.計算機的管理員權限。在從遠程計算機上運 行這些腳本時，須經已通過身份驗證的連接，如使用 Windows NT 請求/響應驗證方式進行 連接。應該為管理級 asp文件創建一個服務器或目錄並將其目錄安全驗證方式設置為 Wind ows NT 請求/響應式身份驗證。目前，僅 Microsoft Internet Explorer version 20 或 更高版本支持Windows NT請求/響應式身份驗證。

7 使用SSL維護應用程序的安全

SSL 協議作為Web服務器安全特性，提供了一種安全的虛擬透明方式來建立與用户的加密通 訊連接。SSL保證了Web內容的驗證，並能可靠地確認訪問被限制的Web站點的用户的身份。

7.1 通過SSL可以被限制的程序

(1)通過SSL，您可以要求試圖訪問被限制的ASP應用程序的用户與您的服務器建立一個加密 連接；以防用户與應用程序間交換的重要信息被截取。

7.2 維護包含文件的安全

如果您從位於沒有保護的虛擬根目錄中的 asp文件中包含了位於啟用了SSL的目錄中的文件 ，則SSL將不被應用於被包含文件。因此，為了保證應用SSL，應確保包含及被包含的文件都 位於啟用了SSL的目錄中。

7.3 客户資格認證

控制對您的ASP應用程序訪問的一種十分安全的方法是要求用户使用客户資格登錄。客户資 格是包含用户身份信息的數字身份證。用户通常從委託的第三方組織獲得客户資格，第三方 組織在發放資格證之前確認用户的身份信息。 每當用户試圖登錄

到需要資格驗證的應用程序時，用户的Web瀏覽器會自動向服務器發送用 户資格。如果Web服務器的SSL資格映射特性配置正確，那麼服務器就可以在許可用户對ASP 應用程序訪問之前對其身份進行確認。

　　8 創建事務性腳本

應用程序常常需要具有在事務內部運行腳本和組件的能力。事務是一種服務器操作，即使該 操作包括很多步驟，也只能整體返回操作是成功還是失敗。用户可以創建在事務內部運行的 ASP腳本，如果腳本的任何一部分失敗，整個事務都將會終止。