Sicherheitsrisiken und Lösungen des ASP+Zugangs

Empfohlen: Der Unterschied und die Verbindung zwischen ASP und JSP
Ich ging heute zum Forum und sah einen Netizen Bluesky eine Frage gestellt, die besser, ASP oder JSP ist und was ist der Unterschied? Für ASP scheint es kein Problem mit Thread -Sicherheit zu geben, während JSP ein Problem mit Thread -Sicherheit gibt. Dies bedeutet nicht, dass ASP im Gegenteil gut ist. Dies bedeutet, dass ASP nicht so gut ist wie

Mit der Entwicklung des Internets ändert sich die Web -Technologie mit jedem Tag. Nach der General Gateway Interface (CGI) ist ASP (Active Server Pages) eine typische serverseitige Webdesign-Technologie und wird in verschiedenen Internetanwendungen wie Online-Banking, E-Commerce und Suchmaschinen häufig verwendet. Gleichzeitig verfügt der Zugriff auf Datenbank als Desktop -Datenbanksystem, das von Microsoft mit Standard -Jet als Engine gestartet wurde, aufgrund des einfachen Betriebs und seiner freundlichen Schnittstelle eine große Benutzerbasis. Daher ist ASP+Access zur bevorzugten Lösung für viele kleine und mittelgroße Online-Anwendungssysteme geworden. Obwohl ASP+Access -Lösungen uns bequemer machen, bringen sie auch Sicherheitsfragen mit, die nicht ignoriert werden können.

Sicherheitsrisiken von ASP+Zugriff Die Hauptsicherheitsgefahren von ASP+Access -Lösungen stammen aus der Sicherheit der Zugriffsdatenbank und liegt zweitens in Sicherheitsanfälligkeiten im ASP -Webdesign -Prozess.

1. Speicherrisiken der Zugriffsdatenbank

Im ASP+Access -Anwendungssystem kann die Datenbank lokal heruntergeladen werden, wenn der Speicherpfad und der Datenbankname der Zugriffsdatenbank erhalten oder erraten werden. Zum Beispiel: Für die Zugriffsdatenbank von Online -Buchhandlungen nennen Personen es im Allgemeinen ein Buch.mdb, store.mdb usw., und der Speicherpfad ist im Allgemeinen URL/Datenbank oder einfach in das Root -Verzeichnis (URL/). Geben Sie auf diese Weise einfach die Adresse ein: URL/Datenbank/Store.mdb in der Browser -Adressleiste können Sie problemlos Store.mdb auf den lokalen Computer herunterladen.

2. Versteckte Gefahren der Zugriffsdatenbank Entschlüsselung

Da der Verschlüsselungsmechanismus der Zugriffsdatenbank sehr einfach ist, ist die Entschlüsselung auch dann einfach, wenn die Datenbank über einen Kennwortsatz verfügt. Das Datenbanksystem bildet eine Verschlüsselungszeichenfolge, indem Sie das vom Benutzer eingegebene Kennwort mit einem festen Taste in den Bereich von Adresse und H42 in der Datei *.mdb speichern. Da die XOR -Operation durch Wiederherstellung des ursprünglichen Wertes nach zwei XORS charakterisiert ist, können Sie das Kennwort der Zugriffsdatenbank problemlos abrufen, indem Sie den zweiten XOR -Vorgang mit dieser Taste und der Verschlüsselungszeichenfolge in der Datei *.mdb durchführen. Basierend auf diesem Prinzip können Entschlüsselungsprogramme leicht vorbereitet werden.

Es ist ersichtlich, dass unabhängig davon, ob das Datenbankkennwort festgelegt ist oder nicht, solange die Datenbank heruntergeladen wird, ihre Informationen keine Sicherheit haben.

3.. Sicherheitsrisiken von Quellcode

Da ASP-Programme nicht kompilierte Sprachen verwenden, reduziert dies die Sicherheit des Programmquellcodes erheblich. Jeder kann den Quellcode erhalten, solange er die Site eingibt, was zum Auslaufen des Quellcodes der ASP -Anwendung führt.

4. Sicherheitsrisiken bei der Programmierung

ASP Code verwendet Formulare, um die Funktion der Interaktion mit Benutzern zu realisieren, und der entsprechende Inhalt wird in der Adressleiste des Browsers widerspiegelt. Wenn nicht angemessene Sicherheitsmaßnahmen ergriffen werden, schreiben Sie einfach diese Inhalte auf und Sie können die Überprüfung umgehen und direkt zu einer bestimmten Seite gehen. Im Browser können Sie beispielsweise die Seite, die die Bedingung x = 1 erfüllt, direkt eingeben, ohne die Formularseite zu durchlaufen. Daher müssen spezielle Maßnahmen ergriffen werden, um solche Probleme bei der Gestaltung von Überprüfungs- oder Registrierungsseiten zu vermeiden.

Die Verbesserung der Datenbanksicherheit Da der Zugriffsdatenbankverschlüsselungsmechanismus zu einfach ist, ist es zu einfach, dass die Herunterladen der Zugriffsdatenbank effektiv zur Verbesserung der Sicherheit von ASP+Access -Lösungen zu oberster Priorität geworden ist.

1. Unkonventionelle Nomenklatur

Eine einfache Möglichkeit, zu verhindern, dass eine Datenbank gefunden wird, besteht darin, der Zugriffsdatenbankdatei einen komplexen und unkonventionellen Namen zu geben und in einem mehrschichtigen Verzeichnis zu speichern. Nennen Sie beispielsweise für Online -Buchhandlungsdatenbankdateien sie nicht einfach book.mdb oder store.mdb, sondern geben Sie ihnen einen unkonventionellen Namen, zum Beispiel:

FAQ19JHSVZBAL.MDB und dann in ein tiefes Verzeichnis wie ./AKKJJ16T/KJHGB661/ACD/AVCCX55. Auf diese Weise können einige illegale Zugriffsmethoden, die Zugriffsdatenbank -Dateinamen durch Erraten erhalten, effektiv verhindern.

2. Verwenden Sie die ODBC -Datenquelle

In der ASP -Programmierung sollten Sie versuchen, ODBC -Datenquellen zu verwenden und den Datenbanknamen nicht direkt im Programm zu schreiben. Andernfalls verliert der Datenbankname zusammen mit dem ASP -Quellcode seine Geheimnisse. Zum Beispiel:

Es ist ersichtlich, dass die Datenbank nach dem Verlust des ASP -Quellcodes problemlos heruntergeladen wird, egal wie seltsam der Datenbankname ist oder wie tief das versteckte Verzeichnis ist. Wenn Sie die ODBC -Datenquelle verwenden, gibt es kein solches Problem:

Conn.open ODBC-DSN Name

Verschlüsseln Sie ASP -Seiten, um Asp -Quellcode -Leckagen effektiv zu verhindern. Asp -Seiten können verschlüsselt werden. Es gibt im Allgemeinen zwei Möglichkeiten, ASP -Seiten zu verschlüsseln. Eine darin besteht darin, die Komponententechnologie zu verwenden, um die Programmierlogik in die DLL zu integrieren. Das andere ist die Verwendung von Microsofts Skript -Encoder, um ASP -Seiten zu verschlüsseln. Der Autor ist der Ansicht, dass das Hauptproblem bei der Verwendung der Komponententechnologie darin besteht, dass jedes Code -Stück komponentiert werden muss, was umständlich ist und eine große Arbeitsbelastung hat. Während der Verwendung von Skript -Encoder zum Verschlüsseln von ASP -Seiten ist einfach zu bedienen und hat gute Ergebnisse.

Die Skript -Encoder -Methode hat viele Vorteile:

1.html ist immer noch sehr bearbeitbar. Skript -Encoder verschlüsselt nur den ASP -Code, der in HTML -Seiten eingebettet ist, und andere Teile bleiben unverändert, sodass wir immer noch gemeinsame Webbearbeitungswerkzeuge wie FrontPage oder Dreamweaver verwenden können, um den HTML -Teil zu ändern und zu verbessern. Der ASP -verschlüsselte Teil kann jedoch nicht geändert werden, andernfalls ist die Datei ungültig.

2. Einfacher Betrieb. Beherrschen Sie einfach einige Befehlszeilenparameter. Das laufende Programm von Skript -Encoder ist Screnc.exe, das wie folgt verwendet wird:

Teilen: ASP -Optimierung: Mehrere beste Auswahlmöglichkeiten zur Verbesserung der ASP -Leistung
ASP -Entwickler arbeiten ständig daran, in ihren Designprojekten eine bessere Leistung und Skalierbarkeit zu erzielen. Glücklicherweise gibt es viele Bücher und Websites, die dazu großartige Ratschläge dazu geben. Die Grundlage dieser Vorschläge ist jedoch die Schlussfolgerung aus der Struktur der ASP -Plattformarbeit.