“ASP”(Active Server Pages)作為一種典型的服務(wù)器端網(wǎng)頁設(shè)計技術(shù),被廣泛地應(yīng)用在網(wǎng)上銀行、電子商務(wù)、搜索引擎等各種互聯(lián)網(wǎng)應(yīng)用中。同時Access數(shù)據(jù)庫作為微軟推出的以標準JET為引擎" />

服務(wù)熱線:18609840880

常見問題

建站知識

您當(dāng)前位置:首頁 > 常見問題

ASP網(wǎng)站建設(shè)的安全解決方法!

發(fā)布時間:2018-10-11

ASP網(wǎng)站建設(shè)的安全解決方法!

“ASP”(Active Server Pages)作為一種典型的服務(wù)器端網(wǎng)頁設(shè)計技術(shù),被廣泛地應(yīng)用在網(wǎng)上銀行、電子商務(wù)、搜索引擎等各種互聯(lián)網(wǎng)應(yīng)用中。同時Access數(shù)據(jù)庫作為微軟推出的以標準JET為引擎的桌面型數(shù)據(jù)庫系統(tǒng),由于具有操作簡單、界面友好等特點,具有較大的用戶群體。

因此ASP+Access成為許多中小型網(wǎng)上應(yīng)用系統(tǒng)的首選方案。但ASP+Access解決方案在為我們帶來便捷的同時,也帶來了不容忽視的安全問題。

ASP+Access的安全隱患ASP+Access解決方案的主要安全隱患來自Access數(shù)據(jù)庫的安全性,其次在于ASP網(wǎng)頁設(shè)計過程中的安全漏洞。 

1.Access數(shù)據(jù)庫的存儲隱患

在ASP+Access應(yīng)用系統(tǒng)中,如果獲得或者猜到Access數(shù)據(jù)庫的存儲路徑和數(shù)據(jù)庫名,則該數(shù)據(jù)庫就可以被下載到本地。例如:對于網(wǎng)上書店的Access數(shù)據(jù)庫,人們一般命名為book.mdb、store.mdb等,而存儲的路徑一般為“URL/database”或干脆放在根目錄(“URL/”)下。這樣,只要在瀏覽器地址欄中敲入地址:“URL/database/store.mdb”,就可以輕易地把store.mdb下載到本地的機器中。     
2.Access數(shù)據(jù)庫的解密隱患
由于Access數(shù)據(jù)庫的加密機制非常簡單,所以即使數(shù)據(jù)庫設(shè)置了密碼,解密也很容易。該數(shù)據(jù)庫系統(tǒng)通過將用戶輸入的密碼與某一固定密鑰進行異或來形成一個加密串,并將其存儲在*.mdb文件中從地址“&H42”開始的區(qū)域內(nèi)。由于異或操作的特點是“經(jīng)過兩次異或就恢復(fù)原值”,因此,用這一密鑰與*.mdb文件中的加密串進行第二次異或操作,就可以輕松地得到Access數(shù)據(jù)庫的密碼?;谶@種原理,可以很容易地編制出解密程序。   由此可見,無論是否設(shè)置了數(shù)據(jù)庫密碼,只要數(shù)據(jù)庫被下載,其信息就沒有任何安全性可言了。

3.源代碼的安全隱患

由于ASP程序采用的是非編譯性語言,這大大降低了程序源代碼的安全性。任何人只要進入站點,就可以獲得源代碼,從而造成ASP應(yīng)用程序源代碼的泄露。

4.程序設(shè)計中的安全隱患

aSP代碼利用表單(form)實現(xiàn)與用戶交互的功能,而相應(yīng)的內(nèi)容會反映在瀏覽器的地址欄中,如果不采用適當(dāng)?shù)陌踩胧灰浵逻@些內(nèi)容,就可以繞過驗證直接進入某一頁面。例如在瀏覽器中敲入“……page.asp?x=1”,即可不經(jīng)過表單頁面直接進入滿足“x=1”條件的頁面。因此,在設(shè)計驗證或注冊頁面時,必須采取特殊措施來避免此類問題的發(fā)生。   提高數(shù)據(jù)庫的安全性由于Access數(shù)據(jù)庫加密機制過于簡單,因此,如何有效地防止Access數(shù)據(jù)庫被下載,就成了提高ASP+Access解決方案安全性的重中之重。 

1.非常規(guī)命名法

防止數(shù)據(jù)庫被找到的簡便方法是為Access數(shù)據(jù)庫文件起一個復(fù)雜的非常規(guī)名字,并把它存放在多層目錄下。例如,對于網(wǎng)上書店的數(shù)據(jù)庫文件,不要簡單地命名為“book.mdb”或“store.mdb”,而是要起個非常規(guī)的名字,例如:   faq19jhsvzbal.mdb,再把它放在如./akkjj16t/kjhgb661/acd/avccx55 之類的深層目錄下。這樣,對于一些通過猜的方式得到Access數(shù)據(jù)庫文件名的非法訪問方法起到了有效的阻止作用。

2.使用ODBC數(shù)據(jù)源

在ASP程序設(shè)計中,應(yīng)盡量使用ODBC數(shù)據(jù)源,不要把數(shù)據(jù)庫名直接寫在程序中,否則,數(shù)據(jù)庫名將隨ASP源代碼的失密而一同失密。例如:   DBPath = Server.MapPath(“./akkjj16t/   kjhgb661/acd/avccx55/faq19jhsvzbal.mdb ”)   conn.Open “driver={Microsoft Access Driver (*.mdb)};dbq=” & DBPath   可見,即使數(shù)據(jù)庫名字起得再怪異,隱藏的目錄再深,ASP源代碼失密后,數(shù)據(jù)庫也很容易被下載下來。如果使用ODBC數(shù)據(jù)源,就不會存在這樣的問題了:   conn.open “ODBC-DSN名”

對ASP網(wǎng)站建設(shè)頁面進行加密為有效地防止ASP網(wǎng)站建設(shè)源代碼泄露,可以對ASP頁面進行加密。一般有兩種方法對ASP頁面進行加密。一種是使用組件技術(shù)將編程邏輯封裝入DLL之中;另一種是使用微軟的Script Encoder對ASP頁面進行加密。筆者認為,使用組件技術(shù)存在的主要問題是每段代碼均需組件化,操作比較煩瑣,工作量較大;而使用Script Encoder對ASP頁面進行加密,操作簡單、收效良好。


選擇大連網(wǎng)站建設(shè)公司-新圖聞,優(yōu)質(zhì)服務(wù),絕對不容錯過 !
1. 優(yōu)秀的網(wǎng)絡(luò)資源,穩(wěn)定的網(wǎng)站和速度保證 
配送雙線獨立ip空間,國際A級BGP機房,99.5% 的主機在線時間) 
2. 12年大連網(wǎng)站建設(shè)經(jīng)驗,優(yōu)秀的技術(shù)和設(shè)計水平,更放心 
3. 全程省心服務(wù),不必擔(dān)心自己不懂網(wǎng)絡(luò),更省心。 

-----------------------------------------------------------------------------------------------------
我們的與眾不同之處:

    免費網(wǎng)絡(luò)營銷顧問:我們?yōu)槟峁┟赓M的網(wǎng)絡(luò)營銷顧問服務(wù),您需要了解關(guān)于如何開展網(wǎng)絡(luò)營銷,電子商務(wù)網(wǎng)站設(shè)計等的事宜,歡迎隨時聯(lián)系我們。

    seo友好的網(wǎng)站管理系統(tǒng):除了優(yōu)質(zhì)的網(wǎng)站空間,網(wǎng)站管理系統(tǒng),和網(wǎng)站設(shè)計外,我們的網(wǎng)站管理系統(tǒng)更是seo友好的,包括:自定義欄目名,靜態(tài)頁面生成等等,讓您的網(wǎng)站錦上添花。

     免費網(wǎng)絡(luò)營銷培訓(xùn):如何更好的投放網(wǎng)絡(luò)廣告,如何提高網(wǎng)絡(luò)廣告的投資回報,如何發(fā)帖子,
     如何優(yōu)化網(wǎng)站,我們有豐富的經(jīng)驗開放給您!祝君成功!

聯(lián)系我們: 186-0984-0880    
大連網(wǎng)站建設(shè)公司-新圖聞網(wǎng)站: 點擊查看經(jīng)典網(wǎng)站案例!

大連新圖聞科技有限公司是一家品牌設(shè)計服務(wù)提供商,企業(yè) 網(wǎng)絡(luò)服務(wù)品牌,也是企業(yè)郵箱“盈世”的大連地區(qū)代理商。 公司服務(wù)項目包括網(wǎng)站建設(shè)、平面設(shè)計、網(wǎng)絡(luò)營銷推廣、商 業(yè)攝影、企業(yè)郵箱等,幫助客戶提高企業(yè)綜合競爭能力。

18609840880(微信同步)

市場部 : 8001@newtwowin.com
業(yè)務(wù)聯(lián)系,業(yè)務(wù)需求請發(fā)到此郵箱.

QQ咨詢: 94091176
客服部:xxz@newtwowin.com
地址:大連市西安路羅斯福B座3109