موصى به: الفرق والاتصال بين ASP و JSP ذهبت إلى المنتدى اليوم ورأيت مستخدمي الإنترنت Bluesky سؤالًا ، وهو أفضل ، ASP أو JSP ، وما هو الفرق؟ يبدو أنه لا توجد مشكلة في سلامة مؤشر ترابط لـ ASP ، في حين أن هناك مشكلة في سلامة مؤشر الترابط لـ JSP. هذا لا يعني أن ASP جيد ، على العكس من ذلك ، فهذا يعني أن ASP ليس جيدًا مثل
مع تطوير الإنترنت ، تتغير تقنية الويب مع كل يوم يمر. باتباع واجهة General Gateway (CGI) ، تعد ASP (صفحات الخادم النشط) تقنية تصميم ويب من جانب الخادم وتستخدم على نطاق واسع في مختلف تطبيقات الإنترنت مثل الخدمات المصرفية عبر الإنترنت والتجارة الإلكترونية ومحركات البحث. في الوقت نفسه ، يحتوي Access Database ، كنظام قاعدة بيانات سطح المكتب الذي تم إطلاقه بواسطة Microsoft مع JET القياسي كمحرك ، على قاعدة مستخدم كبيرة بسبب تشغيلها البسيط وواجهة ودية. لذلك ، أصبح ASP+Access هو الحل المفضل للعديد من أنظمة التطبيقات الصغيرة والمتوسطة على الإنترنت. ولكن في حين أن حلول ASP+Access تجلب لنا الراحة ، فإنها تجلب أيضًا مشكلات أمنية لا يمكن تجاهلها.
تأتي مخاطر الأمان الخاصة بـ ASP+للأخطار الأمفية الرئيسية لحلول ASP+Access من أمان قاعدة بيانات الوصول ، وثانياً تكمن في نقاط الضعف في عملية تصميم الويب ASP.
1. مخاطر تخزين قاعدة بيانات الوصول
في نظام تطبيق ASP+Access ، إذا تم الحصول على مسار التخزين واسم قاعدة البيانات لقاعدة بيانات الوصول أو تخمينه ، يمكن تنزيل قاعدة البيانات محليًا. على سبيل المثال: بالنسبة لقاعدة بيانات الوصول إلى المكتبات عبر الإنترنت ، فإن الأشخاص الذين يسميونه عمومًا book.mdb ، store.mdb ، وما إلى ذلك ، ومسار التخزين عمومًا عناوين URL/قاعدة البيانات أو وضعها ببساطة في الدليل الجذر (url/). وبهذه الطريقة ، فقط اكتب العنوان: URL/Database/Store.mdb في شريط عنوان المتصفح ، يمكنك بسهولة تنزيل Store.mdb إلى الجهاز المحلي.
2. مخاطر خفية لفك تشفير قاعدة بيانات الوصول
نظرًا لأن آلية التشفير لقاعدة بيانات الوصول بسيطة للغاية ، يكون فك التشفير سهلًا حتى إذا كانت قاعدة البيانات تحتوي على كلمة مرور. يشكل نظام قاعدة البيانات سلسلة تشفير عن طريق Xoring كلمة المرور التي أدخلها المستخدم بمفتاح ثابت ويخزنها في المنطقة التي تبدأ من العنوان و H42 في ملف *.mdb. نظرًا لأن عملية XOR تتميز باستعادة القيمة الأصلية بعد XORS ، يمكنك بسهولة الحصول على كلمة مرور قاعدة بيانات الوصول عن طريق تنفيذ عملية XOR الثانية باستخدام هذا المفتاح وسلسلة التشفير في ملف *.mdb. بناءً على هذا المبدأ ، يمكن إعداد برامج فك التشفير بسهولة.
يمكن ملاحظة أنه بغض النظر عما إذا كانت كلمة مرور قاعدة البيانات قد تم تعيينها أم لا ، طالما تم تنزيل قاعدة البيانات ، فلن يكون لمعلوماتها أي أمان.
3. المخاطر الأمنية لرمز المصدر
نظرًا لأن برامج ASP تستخدم لغات غير مجسمة ، فإن هذا يقلل إلى حد كبير من أمان رمز مصدر البرنامج. يمكن لأي شخص الحصول على رمز المصدر طالما أنه يدخل الموقع ، مما يؤدي إلى تسرب الكود المصدري لتطبيق ASP.
4. مخاطر السلامة في البرمجة
يستخدم رمز ASP النماذج لتحقيق وظيفة التفاعل مع المستخدمين ، وسيتم انعكاس المحتوى المقابل في شريط عناوين المتصفح. إذا لم يتم تبني التدابير الأمنية المناسبة ، فما عليك سوى كتابة هذه المحتويات ويمكنك تجاوز التحقق والانتقال مباشرة إلى صفحة معينة. على سبيل المثال ، في المتصفح ، يمكنك إدخال الصفحة التي تلبي شرط X = 1 مباشرةً دون المرور عبر صفحة النموذج. لذلك ، يجب اتخاذ تدابير خاصة لتجنب مثل هذه المشكلات عند تصميم صفحات التحقق أو التسجيل.
إن تحسين أمان قاعدة البيانات نظرًا لأن آلية تشفير قاعدة بيانات الوصول أمر بسيط للغاية ، فقد أصبح كيفية منع تنزيل قاعدة بيانات الوصول بفعالية من أولوية تحسين أمان حلول ASP+Access.
1. التسمية غير التقليدية
تتمثل إحدى الطرق السهلة لمنع العثور على قاعدة البيانات في إعطاء ملف قاعدة بيانات الوصول اسمًا معقدًا وغير تقليدي وتخزينه في دليل متعدد الطبقات. على سبيل المثال ، بالنسبة لملفات قاعدة بيانات Bookstore عبر الإنترنت ، لا تقم ببساطة بتسمية book.mdb أو store.mdb ، ولكن أعطهم اسمًا غير تقليدي ، على سبيل المثال:
faq19jhsvzbal.mdb ، ثم وضعه في دليل عميق مثل ./AKKJJ16T/KJHGB661/ACD/AVCCX55. وبهذه الطريقة ، يمكن أن يمنع بشكل فعال بعض أساليب الوصول غير القانونية التي تحصل على أسماء ملفات قاعدة بيانات الوصول من خلال التخمين.
2. استخدم مصدر بيانات ODBC
في برمجة ASP ، يجب أن تحاول استخدام مصادر بيانات ODBC وعدم كتابة اسم قاعدة البيانات مباشرة في البرنامج. خلاف ذلك ، سيفقد اسم قاعدة البيانات أسراره مع رمز مصدر ASP. على سبيل المثال:
| dbpath = server.mappath (./ AKKJJ16T/ KJHGB661/ACD/AVCCX55/FAQ19JHSVZBAL.MDB) CONN.OPEN DRIVER = {Microsoft Access Driver (*.mdb)} ؛ DBQ = & DBPATH |
يمكن ملاحظة أنه بغض النظر عن مدى غرابة اسم قاعدة البيانات أو مدى عمق الدليل المخفي ، سيتم تنزيل قاعدة البيانات بسهولة بعد فقدان رمز مصدر ASP. إذا كنت تستخدم مصدر بيانات ODBC ، فلن تكون هناك مشكلة من هذا القبيل:
Conn.Open ODBC-DSN اسم
تشفير صفحات ASP لمنع تسرب رمز مصدر ASP بشكل فعال ، يمكن تشفير صفحات ASP. هناك عمومًا طريقتان لتشفير صفحات ASP. أحدهما هو استخدام تقنية المكون لتغليف منطق البرمجة في DLL ؛ والآخر هو استخدام مشفر برنامج Microsoft لترميز صفحات ASP. يعتقد المؤلف أن المشكلة الرئيسية في استخدام تقنية المكون هي أن كل جزء من التعليمات البرمجية يجب أن يكون مكونًا ، وهو أكثر تعقيدًا وله عبء عمل كبير ؛ أثناء استخدام Script Encoder لتشفير صفحات ASP أمر سهل التشغيل ولديه نتائج جيدة.
طريقة تشفير البرنامج النصي لها العديد من المزايا:
1.html لا يزال قابلاً للغاية. يشفر برنامج Script Encoder فقط رمز ASP المضمن في صفحات HTML ، ويبقى أجزاء أخرى دون تغيير ، مما يتيح لنا الاستمرار في استخدام أدوات تحرير الويب الشائعة مثل ProntPage أو Dreamweaver لتعديل وتحسين جزء HTML. ومع ذلك ، لا يمكن تعديل الجزء المشفر ASP ، وإلا فإن الملف سيكون غير صالح.
2. عملية بسيطة. فقط أتقن بعض معلمات سطر الأوامر. برنامج التشغيل الخاص بـ Script Encoder هو screnc.exe ، والذي يتم استخدامه على النحو التالي:
| screnc [/s] [/f] [/xl] [/l deplanguage] [/e defextension] outputfile |
مشاركة: تحسين ASP: عدة خيارات لتحسين أداء ASP يعمل مطورو ASP باستمرار للحصول على أداء أفضل وقابلية التوسع في مشاريع التصميم الخاصة بهم. لحسن الحظ ، هناك العديد من الكتب والمواقع التي تقدم نصيحة رائعة حول هذا الموضوع. ومع ذلك ، فإن أساس هذه الاقتراحات هو الاستنتاج المستخلص من بنية عمل منصة ASP ،
صفحتان في إجمالي الصفحة السابقة 12 الصفحة التالية