摘要：本文基于ASP技术，介绍了ASP技术的工作原理，ASP具有易开发、无需编译或连接即可执行、无需客户端浏览器支持等许多优点，迅速被广大网络设计和开发人员所接受，成为他们在Windows 环境下首选的网站开发和编程技术。ASP虽然具有许多优点，但是我们也应该看到ASP 从一开始就一直受到众多漏洞的困扰。因此我们有必要了解ASP所存在的安全问题，并且找到相应的对策，使我们开发的ASP网站更加安全可靠。
　　关键词：ASP技术；安全漏洞；Windows环境；网络安全
　　
　　1 引言
　　
　　ASP即Active Server Pages，它是微软开发的一种动态网站编写技术，属于嵌入式服务器端脚本，允许HTML和ASP程序语句的互相嵌套，并且可以直接存取数据库及使用无限扩充的ActiveX控件，因此ASP的程序编制比HTML更方便，交互功能更强大，且更有灵活性。但是有些网站管理员只看到ASP的快速开发能力，却忽视了ASP安全问题，因此如何保护Web网站的安全是每一个Web网站开发人员所面临的重要课题，本文通过对基于ASP技术的动态Web网站工作原理的分析，探讨了基于ASP的网站在服务器和源代码方面的漏洞，并给出了防范措施和对策。
　　
　　2 ASP 的工作原理
　　
　　ASP 的执行环境是在服务器端，但并不是任何服务器都可以执行ASP。ASP需要Microsoft的IIS(Internet信息服务器)或PWS(个人Web 服务器)的支持。当客户端的用户用Web浏览器来访问ASP页面时，Web 服务器分析、判断出该请求是ASP脚本的应用后，将调用ASP 脚本的解释运行引擎(ASP. DLL)从文件系统或内部缓冲区获取制定的ASP脚本文件，接着就进行语法分析并解释执行。最终的处理结果将形成标准的HTML格式文件，通过Web服务器返回给Web浏览器，由Web浏览器在客户端形成最终的结果呈现。
　　
　　3 ASP 执行过程以及在网络安全上的优点
　　
　　ASP 脚本是使用VBScript，JavaScript或JScript脚本语言编写的，与标准HTML页面混合在一起的脚本所构成的文本格式的文件。当Web浏览器向Web服务器发出HTTP请求，访问ASP文件时，Web服务器判断出该请求的ASP文件含有“<%”和“%>”后，调用ASP.DLL，进行语法分析、解释执行，然后将最终结果转换成为标准的HTML格式内容，返回给Web浏览器，由Web浏览器显示。这是一次完整的ASP执行过程。ASP在网络安全方面主要有以下优点：
　　(1)不泄漏源代码相比客户端执行的JavaScript 程序，ASP在网络安全上的优点之一是用户不能看到ASP 源程序。因为传到浏览器端的只是转换成HTML语言的结果。这一点既维护了ASP开发人员的版权，又维护了网站系统的安全。
　　(2)支持虚拟目录的建立在网络安全上有重要意义。因为虚拟目录方式可以隐藏站点目录结构。而站点目录结构的暴露，往往是导致系统受到攻击的第一步。而且网站源代码不需要任何修改，就可以搬迁到另一台服务器上正常运行，另外，管理员可以对虚拟目录设置不同的操作权限。从而方便管理，并且提高ASP程序的安全性。
　　
　　4 ASP常见的安全漏洞及防范措施
　　
　　4.1 Access 数据库访问密码泄露安全漏洞
　　由于Access数据库的加密机制非常简单，即使数据库设置了密码，解密也很容易。该数据库系统通过将用户输入的密码与某一固定密钥进行异或来形成一个加密串，并将其存储在*.mdb文件从地址“