ASP安全技术 ASP是Microsoft Active Server Pages的简称,它是服务器端脚本编写环境, 使用它可以创建和运行动态,交互的Web服务器应用程序。使用ASP可以组合 HTML页、脚本命令和ActibeX组件以创建交互的Web页和基于Web的功能强大的 应用程序。 ASP是开发网站应用的快速工具,但是有些网站管理员只看到ASP的快速开发能 力,却忽视了ASP的安全问题。ASP从一开始就一直受到众多漏洞,后门的困扰 ,包括%81的噩梦,密码验证的问题,IIS漏洞等等都一直使ASP网站开发人员心 惊胆跳。 说了这么多的废话,进入正题吧(但是这也不算是废话啊:P) ASP工作机理: Active server Page技术为应用开发商提供了基本的直观、快速、高效的应用开 发手段,极大的提高了开发的效果。ASP脚本是采用明文(plain text)方式编写 的。ASP脚本又是一系列按特定语法(目前支持vbscript和javascript两种脚本 语言)编写的,与标准HTML页面混在一起的脚本所构成的文本格式的文件。当客 户端的最终用户用WEB浏览器通过INTERNET来访问ASP脚本的应用时,WEB浏览器将 向WEB服务器发出HTTP请求。WEB服务器分析、判断出该请求是ASO脚本的应用后, 自动通过ISAPI接口调用ASP脚本的解释运行引擎(ASP.DLL)。ASP.DLL将从文件 系统或内部缓冲区获取指定的ASP脚本文件,接着就进行语法分析并解释执行。 最终的处理结果将形成HTNL格式的内容,通过WEB服务器“原路”返回给WEB浏览 器,由WEB浏览器在客户端形成最终的结果呈现。 好了今天就说到这里,有机会在接着讲:P)
|