ASP文件中的安全问题

ASP技术：强大功能与潜在安全问题

ASP（Active Server Pages）是一种功能强大的网络技术，它以其简单、易用、多功能和可扩充性而受到广大开发者的喜爱。就像任何其他技术一样，ASP也存在一些潜在的安全问题。

我们得明确一点，ASP本身并没有问题，关键在于如何正确使用它。有时，我们会听到一些关于ASP容易导致网站被注入的言论。实际上，任何技术，如果被错误使用或缺乏足够的安全措施，都可能面临被注入的风险。这关乎开发者的技能和经验，而不仅仅是技术本身的问题。

在ASP中，常见的安全问题主要有SQL注入、登录绕过和Cookie注入。

关于SQL注入，这是通过传递非法参数来执行非法操作的一种攻击方式。为了防范SQL注入，我们需要对输入参数进行严格的检测和过滤。不应仅仅依赖简单的数字检测函数，如isnumeric，因为这可能无法阻止一些巧妙的注入尝试。正则表达式是一种更好的选择，它可以更精确地匹配和过滤输入。

错误处理也是防止注入攻击的重要环节。开发者需要考虑到各种异常情况，并制定相应的处理策略。例如，对于不存在的type值或超出范围的id值，需要有相应的处理机制，避免程序因错误输入而崩溃。

绕过登录检测是另一种常见的攻击方式。有些开发者在编写登录检测语句时，可能过于简化，使得攻击者可以通过构造特殊的SQL语句来绕过检测。为了防范这种攻击，我们可以对登录检测进行改进，不仅仅检查用户名和密码是否存在，还可以对比数据库中的实际密码。这样，即使攻击者试图绕过检测，也无法进入。

至于Cookie注入，当参数既可能通过URL传递，又可能通过表单传递时，我们需要格外小心。使用request("page")这样的方式可能会带来安全风险。为了确保安全，我们应该对所有的输入进行验证和过滤，确保程序的健壮性。

你轻松了，开发者也轻松了。当request没有明确指定方法时，它会尝试按照QueryString、Form、Cookie的顺序接收参数。如果攻击者伪造了一个cookie并通过浏览器访问.sitename./shownews.asp，如果shownews.asp使用的是简单的request接收，它可能不会报错。因为程序能从cookie中找到id。但如果不对这个参数进行验证，那么潜在的注入攻击就可能发生。对此，建议使用select case或if语句进行判断，虽然这可能会增加一些复杂性，但确保安全总是首要任务。

第二，ASP上传功能存在漏洞。许多无组件上传类存在共同的问题，那就是缺乏对上传文件类型的有效检测。目前，我们主要依赖其他手段进行手动检测，这些检测通常在服务器端进行。如果一定要说ASP有什么问题，这可能就是一个大问题。

在后台权限判断方面，我曾浏览过几个后台系统，发现它们仅在登录的第一页进行权限判断，而后台的每个页面都没有这一操作。这是不够的。后台所有页面都应该进行权限判断。否则，攻击者只需在浏览器中直接输入某个功能页面的地址就能绕过验证。那么，后台登录的验证就显得不那么重要了。

不能忽视服务器端验证。虽然JavaScript在客户端检测非常强大，比如禁止空字符输入或使用正则表达式进行高级检测，但现代浏览器几乎都可以关闭JavaScript支持。这意味着客户端提交的信息可能未经检测就直接提交到服务器。这时，之前节省的服务器资源在安全性面前显得微不足道。客户端和服务器端的验证都是必要的。对于站外提交的信息更是如此，即使攻击者绕过了你的站外提交检测代码，他们也无法绕过服务器端的验证。如果他们提交的内容没有问题，那么站外提交的内容也可以被接受——如果他们需要费这么大劲，那他们到底是为了什么呢？

事实上，所有ASP可能出现的问题都可以归结为一个问题：错误。这可能是由于程序写法上的错误或客户端提交错误参数导致的错误。ASP有一个错误处理机制，建议每页都包含on error resume next，即使错误导致页面无法显示内容，它也不会向客户端透露任何错误内容。但这只是解决问题的一部分，ASP的真正安全还需要程序员的细心处理每个潜在问题。