ASP_NET的网站设计安全问题研究

网络通讯及安全本栏目责任编辑：冯蕾Computer Knowledge and Technology 电脑知识与技术第5卷第22期(2009年8月)基于 的网站设计安全问题研究

周维霞1，罗刚2

（1.桂林电子科技大学附属中学，广西桂林541004；2.广西师范大学教育科学学院，广西桂林541004）

摘要：在基于 开发网站过程中，网站安全是一个较为复杂的问题。针对隐藏域保护、恶意脚本注入攻击、SQL 注入攻击以及数据库安全保护等问题进行了深入的分析和研究，给出了相应的安全配置策略，并提出了具体的程序设计技巧，降低了黑客入侵网站的机率，提高了网站的安全性。

关键词： ；网站安全；注入攻击

中图分类号：TP393文献标识码：A 文章编号：1009-3044(2009)22-6181-03

The Research on Security of Website Design Based on

ZHOU Wei-xia 1,LUO Gang 2

(1.Subsidiary School,Guilin University of Electronic Technology,Guilin 541004,China;2.Institute of Educational Science,Guangxi Normal University,Guilin 541004,China)

Abstract:Based on development web site,the site security is a more complex issue.Hidden field to protect against malicious script injection attacks,SQL injection attacks and database security issues such as an in-depth analysis and research,given the appropriate security configuration strategies,as well as specific program design techniques,reducing the hacking site chance to improve the security of the site.

Key words:;website security;injection attack

Web 服务应用正在爆炸式增长，越来越多的应用被推出到防火墙之外，安全性脆弱的Web 应用面临的风险也有增无减。同时，随着 技术的不断发展，基于 的动态网页被越来越多的用户所使用。但是由于在动态网页页面中需要用户输入许多资料和数据与之交互，而用户输入的信息不可预测，如果开发人员用 编写动态Web 网页时，考虑不够周全，安全意识不强，则会造成程序不够稳健，再加上所使用的数据库本身就存在漏洞，在用户有意或无意的交互下，就可能会造成对网站的攻击、破坏。

1基于 的网站安全问题分析及防范措施

1.1保护隐藏域的安全

在 应用中，几乎所有HTML 页面的_VIEWSTATE 隐藏域中都可以找到有关应用的信息。攻击者可以方便地解码BASE64数据，从而得到_VIEWSTATE 中提供的详细资料，达到窃取用户资料的目的。

要解决这个问题，需要设置Enable ViewStat MAC=“true ”，启用_VIEWSTATE 数据加密功能。然后，将machine Key 验证类型设置为DES ，要求 用3DES 对称加密算法加密VIEWSTAT 数据。

1.2恶意脚本注入攻击问题

恶意脚本注入指用户将恶意的脚本代码输入到网页文本框控件中，如“