计算机在线考试系统的安全漏洞及对策.doc
《计算机在线考试系统的安全漏洞及对策.doc》由会员分享,可在线阅读,更多相关《计算机在线考试系统的安全漏洞及对策.doc(57页珍藏版)》请在咨信网上搜索。
1、在线考试系统的安全漏洞及对策总计:毕业论文 51 页插 图 0 幅表 格 0 表指导教师: 张长君 评 阅 人: 完成日期: 2006年5月31日 52摘要随着网络技术的飞速发展,现在很多国外的大学和社会其他部门都已经开设了远程教育,通过计算机网络实现异地教育和培训。现在,计算机硬件技术的发展已经达到了相当高的水平。但是,远程教育软件的开发目前还处于起步阶段,随着这项技术的不断深入发展,就要求有更好、更完善的软件系统应用到远程教育当中去,目前面向网络编程、数据库访问的多种技术中,比如JSP、PHP、ASP 中,ASP 以其开发周期短、存取数据简单、运行速度快而成为众多web 程序员的首选开发技
2、术但由于开发手段的直观、快速和高效,也带来了一定的安全隐患。数据库是在线考试系统的基础,通常都保存着重要的信息。大多数教育部门和学校的电子数据都保存在各种数据库中,他们用这些数据库保存一些个人资料,比如学生成绩等。在线考试系统数据库服务器还掌握着敏感的数据,包括考试的时间和考题。数据完整性和合法存取会受到很多方面的安全威胁,包括密码策略、系统后门、数据库操作以及本身的安全方案。但是在线考试系统数据库通常没有象操作系统和网络这样在安全性上受到重视。安全对于在线考试系统更为重要,本文以目前基于Web 的信息系统最常用的ASPSQL Server 2000为例,探讨在线考试系统中可能存在的安全隐患,
3、并给出相应的建议。关键词:ASP;SQL Server 2000;安全漏洞;对策ABSTRACTFlying technically along with the network to develop soon, the university of now a lot of abroad all have set up with the social other section the long range educates, passing the calculator network realizes foreign land education with train. Now, the
4、technical development in hardware in calculator has come to a very high horizontal. But, the long range educate the development of the software to still be placed in the stage in start now, along with this technical continuously thorough development, will beg the better and more perfect software sys
5、tem apply to the long range the education center go to, face to now the network plait distance, database visit in various techniques, for example in the JSP, PHP, ASP, ASP with its development cycle short, access data simple, run - time velocity quick and become the head of numerous the member of we
6、b procedures chooses to develop the technique. but because of development the means keeps the view, fleetness with efficiently, also brought the certainly safe hidden trouble. The database is the foundation of the on-line examination system, usually all keeping the important information. Educate the
7、 section to keep with the electron data of the school all mostly in every kind of database, they keep the some personal data with these databases, for example student score etc. The on-line examination system database server still controls the impressionable data, including the time of the examinati
8、on with the subject of examination. The data integrity access and would suffer with the legality very in many ways of the safety threatens, including the password strategy, the back door of system, database the operation and oneself of safe project. But the wire examination system database usually h
9、as no elephant operate system to suffer to value on the safety like this with the network. The on-line examination system for safety is more important, this text with current according to Web the most in common use ASP in system in information+ SQL Server 2000 for a safe hidden trouble for, inquirin
10、g into on-line examination system inside possible to be existence, and give the homologous suggestion.Key words:ASP;SQL Server 2000;Security Hole;Countermeasure目录1.绪论11.1本文研究的目的和意义11.2文献综述11.2.1ASP简述11.2.2SQL Server 2000简述22.ASP漏洞分析和解决方法32.1在ASP程序后加个特殊符号,能看到ASP源程序32.2ACCESS 数据库有可能被下载的漏洞42.3code.asp文
11、件会泄漏ASP代码52.4file system object 组件篡改下载fat分区上的任何文件的漏洞62.5输入标准的HTML语句或者javascript语句会改变输出结果62.6ASP程序密码验证漏洞72.7INDEX SERVER服务会漏洞ASP源程序82.8存在后门允许用户查看ASP文件源程序和下载整个网站92.9IIS4.0受HTTP的D.O.S攻击漏洞92.10IIS5.0超长URL拒绝服务漏洞102.11请求不存在的idq或ida 文件会暴露服务器的物理地址102.12NT Index Server存在返回上级目录的漏洞112.13绕过验证直接进入ASP页面122.14IIS4
12、.0/5.0特殊数据格式的URL请求远程DOS攻击132.15IIS Web Server DOS142.16MS ODBC数据库连接溢出导致NT/9x拒绝服务攻击142.17ASP主页.inc文件泄露问题162.18利用Activer server explorer可对文件进行读写访问172.19IIS4.0/IIS5.0超长文件名请求存在漏洞183.SQL Server 2000的安全漏洞203.1使用安全的密码策略203.2使用安全的帐号策略203.3加强数据库日志的记录213.4管理扩展存储过程213.5使用协议加密223.6不要让人随便探测到你的TCP/IP端口223.7修改TCP/
13、IP使用的端口233.8拒绝来自1434端口的探测233.9对网络连接进行IP限制234.在线考试系统的安全对策244.1关闭没有用的服务和协议244.2设置好网络操作系统244.3磁盘文件格式使用比较安全的NTFS格式254.4对目录设置不同的属性,如:Read、Excute、Script254.5维护Global.asa的安全264.6在在线考试系统程序中记录用户的详细信息264.7Cookie安全性264.8使用身份验证机制保护被限制的ASP内容274.9保护在线考试系统的元数据库274.10使用最新的扫描器扫描基于ASP在线考试系统漏洞285.在线考试系统防范举例296.总结与展望31
14、参考文献32附录1(外文译文)33附录2(外文原文)41致谢50大连大学学位论文版权使用授权书51在线考试系统的安全漏洞及对策1.绪论1.1本文研究的目的和意义 随着互联网的高速发展,网络的安全问题日益凸现,尤其是近年来出现的在线考试,也由于与互联网密不可分的关系,经常受到安全威胁。尤其以基于ASPSQL Server 2000的在线考试系统的安全问题最为突出,因此研究在线考试系统的安全问题是十分必要的。本文就以基于ASPSQL Server 2000的在线考试系统的安全问题作为研究对象。通过对ASP和SQL Server 2000安全漏洞的对策的分析与研究,找出的在线考试系统的安全问题的解决
15、方法。1.2文献综述1.2.1ASP简述Microsoft Active Server Pages(ASP)是多数在线考试系统服务器端脚本编写环境,使用它可以创建和运行动态、交互的 Web 服务器应用程序。使用 ASP 可以组合 HTML 页 、脚本命令和 ActiveX 组件以创建交互的 Web 页和基于 Web 的功能强大的应用程序。现在很多在线考试方面的网站,在前台上大都用ASP来实现。Active Server Page技术为应用开发商提供了基于脚本的直观、快速、高效的应用开发手段,极大地提高了开发的效果。在讨论ASP的安全性问题之前,让我们来看看ASP是怎么工作的。ASP脚本是采用明
16、文(plain text)方式来编写的。ASP脚本是一系列按特定语法(目前支持vbscript和jscript两种脚本语言)编写的,与标准HTML页面混合在一起的脚本所构成的文本格式的文件。当客户端的最终用户用WEB浏览器通过INTERNET来访问基于ASP脚本的应用时,WEB浏览器将向WEB服务器发出HTTP请求。WEB服务器分析、判断出该请求是ASP脚本的应用后,自动通过ISAPI接口调用ASP脚本的解释运行引擎(ASP.DLL)。ASP.DLL将从文件系统或内部缓冲区获取指定的ASP脚本文件,接着就进行语法分析并解释执行。最终的处理结果将形成HTML格式的内容,通过WEB服务器原路返回给
17、WEB浏览器,由WEB浏览器在客户端形成最终的结果呈现。这样就完成了一次完整的ASP脚本调用。若干个有机的ASP脚本调用就组成了一个完整的ASP脚本应用。让我们来看看运行ASP所需的环境:Microsoft Internet Information Server 3.0/4.0/5.0 on NT Server/Linux Microsoft Internet Information Server 3.0/4.0/5.0 on Win2000/Win2003 Microsoft Personal Web Server on Windows 95/98WINDOWS网络操作系统所带的Micros
18、oft IIS提供了强大的功能,但是IIS在网络安全方面却是比较危险的。1.2.2SQL Server 2000简述微软的SQL Server是一种广泛使用的数据库,很多在线考试系统平台等都是基于SQL Server上的,但是在线考试系统数据库的安全性还没有被人们更系统的安全性等同起来,多数管理员认为只要把网络和操作系统的安全搞好了,那么所有的应用程序也就安全了。大多数系统管理员对在线考试系统数据库不熟悉而数据库管理员有对安全问题关心太少,而且一些安全公司也忽略在线考试系统数据库安全,这就使数据库的安全问题更加严峻了。在线考试系统系统中存在的安全漏洞和不当的配置通常会造成严重的后果,而且都难以
19、发现。数据库应用程序通常同操作系统的最高管理员密切相关。广泛SQL Server数据库又是属于“端口”型的数据库,这就表示任何人都能够用分析工具试图连接到在线考试系统数据库上,从而绕过操作系统的安全机制,进而闯入系统、破坏和窃取考试资料,甚至破坏整个系统。2.ASP漏洞分析和解决方法ASP是开发在线考试系统网站应用的快速工具,但是有些网站管理员只看到ASP的快速开发能力,却忽视了ASP安全问题。ASP从一开始就一直受到众多漏洞,后门的困扰,包括%81的噩梦,密码验证问题,IIS漏洞等等都一直使ASP网站开发人员心惊胆跳。本部分试图从开放了ASP服务的操作系统漏洞和ASP程序本身漏洞,阐述ASP
20、安全问题,并给出解决方法。2.1在ASP程序后加个特殊符号,能看到ASP源程序受影响的版本:win95+pws 、IIS3.098+pws4不存在这个漏洞IIS4.0以上的版本也不存在这个漏洞问题描述:这些特殊符号包括小数点,%81, :$DATA。比如:http:/someurl/somepage.asp.http:/ someurl/somepage.asp%81http:/ someurl/somepage.asp:$DATAhttp:/ someurl/somepage.asp %2ehttp:/ someurl/somepage %2e%41sphttp:/ someurl/some
21、page%2e%asp http:/ someurl/somepage.asp %2ehttp:/someurl/msadc/samples/selector/showcode.asp?source=/msadc/samples/././././././boot.ini (可以看到boot.ini的文件内容)那么在安装有IIS3.0和win95+PWS的浏览中就很容易看到somepage.asp的源程序。究竟是什么原因造成了这种可怕的漏洞呢?究其根源其实是 Windows NT 特有的文件系统在做怪。有一点常识的人都知道在 NT 提供了一种完全不同于 FAT 的文件系统:NTFS,这种被称之为
22、新技术文件系统的技术使得 NT 具有了较高的安全机制,但也正是因为它而产生了不少令人头痛的隐患。大家可能不知道, NTFS 支持包含在一个文件中 的多数据流,而这个包含了所有内容的主数据流被称之为DATA,因此使得在浏览器 里直接访问 NTFS 系统的这个特性而轻易的捕获在文件中的脚本程序成为了可能。然而 直接导致 :$DATA 的原因是由于IIS在解析文件名的时候出了问题,它没有很好地规范文件名。解决方法:如果是Winodws NT用户,安装IIS4.0或者IIS5.0,Windows2000不存在这个问题。如果是win95用户,安装WIN98和PWS4.0。12.2ACCESS 数据库有可
23、能被下载的漏洞问题描述:在用ACCESS做后台数据库时,如果有人通过各种方法知道或者猜到了服务器的ACCESS数据库的路径和数据库名称,那么他能够下载这个ACCESS数据库文件,这是非常危险的。比如:如果你的ACCESS数据库book.mdb放在虚拟目录下的database目录下,那么有人在浏览器中打入:http:/ someurl/database/book.mdb,如果你的book.mdb数据库没有事先加密的话,那book.mdb中所有重要的数据都掌握在别人的手中。解决方法:(1)为你的数据库文件名称起个复杂的非常规的名字,并把他放在几目录下。所谓非常规,打个比方:比如有个数据库要保存的是
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机 在线 考试 系统 安全漏洞 对策
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【天****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【天****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。