肖寧　馬曉榮

[摘要] 為增強網站安全從網站設計者角度探討ASP.NET+SQLSERVER設計網站時易出現(xiàn)的安全問題并給出相應方法。

[關鍵詞] 網站 安全

隨著B/S應用的發(fā)展，更多的程序員用ASP.NET+SQLSERVER開發(fā)網站。ASP.NET是全新的創(chuàng)建動態(tài)web內容的服務器端技術，SQLSERVER是基于服務器端的企業(yè)級數(shù)據(jù)庫，用于大容量數(shù)據(jù)和大流量網站，在安全性、效率等方面比Access強大的多。故將SQLSERVER與ASP.NET結合是目前大中型網站建設的首選。其伴隨的安全問題也日益被關注。若在開發(fā)時就對常見安全漏洞有預見，并預防，可大大降低構建安全網站成本，使網站更有效地應對攻擊。

ASP.NET +SQLSERVER常見安全問題

1.數(shù)據(jù)庫泄密

數(shù)據(jù)庫是網站運營的基礎，密碼等重要信息若以明文存于庫，一旦被入侵就可對信息進行破壞。

2.繞過注冊頁隱患

用表單交互時內容可能會反映到地址欄，若未采取措施，記下這些內容就可繞過驗證直接進入頁面。如在瀏覽器中敲入“bk.aspx？id=3”，則繞過表單頁直接進入“id=3”的bk.aspx頁。

3. SQL注入

4.輸入惡意腳本

5.暴力破解登錄密碼

開發(fā)者在用戶密碼的驗證代碼中未考慮到惡意用戶會暴力破解密碼。

6.文件上傳漏洞

文件上傳可用fileupload控件輕松實現(xiàn)，但若缺少對提交文檔的檢查，網頁木馬或帶病毒的文件就可能被上傳。

ASP.NET+SQLSERVER安全問題對策

1.數(shù)據(jù)庫泄密對策

2.繞過注冊頁對策

3.防SQL注入

4.消除惡意腳本

5.暴力破解密碼對策

增加隨機碼校驗，將它與用戶名密碼組合可增加破解難度；還可設置最多登錄數(shù)，若超過閥值就可鎖定或跳到指定頁。

6.文件上傳安全對策

本文從開發(fā)者角度指出ASP.NET+SQLSERVER方案中易出現(xiàn)的安全問題并給出對策，對開發(fā)安全網站有較強的指導作用。

參考文獻：

[1]周維霞.基于ASP.NET的網站設計安全問題研究[J].電腦知識與技術，2009，5.

[2]李婷.ASP.NET網站中SQL注入攻擊及防范[J].科技資訊，2010，34.

[3]李楊.網站安全漏洞解析[J].四川兵工學報，2012，33.

作者單位：陜西職業(yè)技術學院計算機系 陜西西安