本站联系方式
   联系QQ  :1095080675
   联系QQ  :1223950575
  技术指导:1353934434
  
  电子邮箱:1095080675@qq.com
标题  ASP的密码验证漏洞及解决方案
编号  11393
编程语言  ASP
开发环境  DreamWeaver 8
数据库  SQL Server 2000 或 2005
资料明细  毕业论文
推荐指数  ★★★★★
内容介绍

现在有很多网站通过使用ASP程序来实现,包括很多电子商务网站, 这让ASP程序在网站上应用得十分普遍。但是人们更多的只是看到了ASP的快速开发能力 , 却忽视了ASP存在的安全问题。事实上 ,ASP一直都存在着众多的安全漏洞 ,比如ASP页面文件的源代码泄露漏洞、 ASP程序的密码验证漏洞 、网络信息服务IIS漏洞等 ,这些都是困绕程序开发人员的安全问题。
现在有不少网站都要求用户输人合法的用户名和密码后才可以访问和浏览页面 , 称之为限权访问或叫做密码验证。问题是 ,这样做就一定安全吗 也就是说 ,能否绕过这些“必须”的用户名和密码 , 而不输入用户名和密码也能访问和浏览页面呢 下面就来谈谈密码验证问题。通过对三种常用的程序的密码验证方法的实现原理和存在的漏洞的分析 , 给出了解决方案。
在ASP程序中嵌入SQL 语句
这种方法’ 是通过在 程序中加人SQL结构化查询语言 语句来查询存储用户名和密码的数据库 , 以此验证在登录验证窗口输人的用户名和密码的合法性。若合法则通过验证,允许浏览页面 ,不合法则拒绝浏览。
—实现原理 很多网站把密码放到数据库中来实现对用户名和密码的管理 ,此外 ,SQL语句作为国际标准的数据库查询语句 ,在各种编程环境中得到了广泛的应用 。 作为一个成熟、稳定的网站系统,用户登录时的用户名和密码的脸证是必不可少的。
在登录验证时 ,常常采用在ASP程序中插人SQL结构化查询语句:Sql="SELECT * FROM 用户表 WHERE 姓名='name' AND 密码 ='password'来读取数据库中已存储的用户名和密码, 并与提供密码验证的窗口中输人的用户名和密码进行对比校验。若两者相符 ,则认为你刚输人的 用户名和密码是合法的 ,允许继续浏览下一级的页面信息。否则 ,认为你刚刚输入的用 户名和密码是非法的 , 限制访问下一级页面。
其中“用户表”是指存放用户名和密码的数据库或数据表,name和password是存放用户输人的用户名和密码的 “变量”,通过执行上述语句来验证用户名和密码是否合法有效。

—漏洞分析 理论和实践表明,上面的SQL语句存在着安全漏洞,常常导致 “密码验证”过程的 “失效” 。漏洞成因分析如下: 攻击者可以通过SQL注入绕过密码验证,成功进入系统。

说明
  以上是论文部分内容。如果对以上内容感兴趣,可以QQ:1095080675或邮件1095080675@qq.com继续联系我们。
  • 上一篇:ASP在Web开发中的常用技术
  • 下一篇:ASP实现的网上考试系统