网站安全性浅谈

最近有个网友一直在问我什么安全性高的ASP系统。关于网站的安全，我也仅仅是从部分层面有一些体会，今天就分享出来，也作为自己在这方面的一些总结。

这里说明还是以ASP为主。

一、关于漏洞，漏洞修复

这个是关注最多的问题，不管是ASP,PHP还是多高级的语言，漏洞都是无处不在。大多数情况下，漏洞跟开发者有直接或间接的关系。当然，在网站方面，漏洞的主要表现就在参数过滤不严，权限检测不严导致的。

比如前台读取一条新闻，会根据新闻ID这个参数来调用，最初的那些ASP教程里都会这样写

Dim sql,rs
sql="SELECT * FROM NEWS WHERE ID="& Request.QueryString("ID")
Set rs=conn.Execute(sql)

取来的参数不经任何过滤就组装到SQL语句中，只需把参数加些字符，就可实现很多功能

'在参数里传入 ID=1 And (SELECT LEN(AdminName) FROM Admin)=5
'SQL语句就成了
SELECT * FROM NEWS WHERE ID=1 And (SELECT LEN(AdminName) FROM Admin)=5
'可以判断管理员名称长度
'在参数里传入 ID=1 And (SELECT Mid(AdminName,2,1) FROM Admin)='a'
'SQL语句就成了
SELECT * FROM NEWS WHERE ID=1 And (SELECT Mid(AdminName,2,1) FROM Admin)='a'
'可以判断某个位置的字符

其次是文件上传之类的接口，没经任何验证就直接保存文件，特别是不检测文件名是否合法就以原文件名保存，将直接导致木马文件或后门被上传。

二、修补漏洞的几个层次。

对于一些较早的站长，自己又不大懂得代码的，网站漏洞可是个头疼的问题。网站刚流行的时候，黑客可是个希罕词儿，那时候的网站，也不大注意阻止常规的漏洞，所以，代码中处处都隐藏着类似上面提到的片断，这种网站修补起来很麻烦，网上有些高手于是写了各种通用的防注入程式，其机制就是在代码运行初期，逐个对提交的变量检测(ASP中的Cookie,QueryString,Form)，检测的标准一般是基于一些特殊字符(单引号，百分号等)和关键字(select,insert等)。这种做法通常可以起到一定的效果，但同时也有很多不便，比如后台要更新一篇文章，个别时候会出现上述的符号或关键字，就造成文章无法添加，这对用户是非常不友好的。另外，对于文件上传的代码，在调用BinaryRead之前是不能调用Form的，这也会影响到文件上传的模块。这是漏洞修补和第一个层次。

第二个层次，就是在用到外部提交的参数的时候逐一转换或过滤，比如用到数字，就转换int型，用到字符串，如果只需要字母和数字，就把字符串中非字母和数字的过滤掉，然后在组装SQL语句时进行必要的转义。这个层次的主要功夫，就在代码层面，一个Web开发者的水平，也多在这个层面能体现一二。具体代码就不列举了，相信有经验的开发者都有所体会。

第三个层次，就是前年闹的沸沸扬扬的XSS攻击。所谓XSS，全称Cross Site Script，跨站脚本攻击。基本特性就是不直接攻击服务器，而是利用服务器的过滤不严格来构造一些代码，去获取该网站浏览者的隐私信息。在一般的网站后台，很少有考虑到这个问题的，因为后台多是站长自己更新或发布的地方，不会特意去构造XSS代码，所以这种攻击多体现在前台，如一些简单网站的留言板里，如果不对客户的留言内容或其它字段过滤，直接插入到数据库，会导致管理员或其它访客在浏览时遭受跨站攻击，泄漏个人隐私。一般简单的代码是不允许使用html代码，直接对内容进行html编码，这样浏览的时候所有代码都会以原型显示而不会运行。复杂点的方法是针对内容中可能出现脚本或可执行的地方做过滤，尤其是针对IE低版本浏览器，在CSS中都可以运行代码。

代码层面能做到这些，基本上算是比较安全的了，细致的话可以配合上验证码(登录，提交验证，验证过自动刷新)，加密(cookie信息加密，验证信息加密)等机制，则可以做到更好。

最后还不要忘记了，除了http协议外还有一个https协议，这是专门用于安全链接的，可防止隐私信息被截获，至于具体使用方法，网络上也有很多介绍。