Recomendado: La diferencia y la conexión entre ASP y JSP Fui al foro hoy y vi a un Netizen Bluesky hizo una pregunta, que es mejor, ASP o JSP, ¿y cuál es la diferencia? Parece que no hay ningún problema de seguridad para el hilo para ASP, mientras que hay un problema de seguridad de hilo para JSP. Esto no significa que ASP sea bueno, por el contrario, significa que ASP no es tan bueno como
Con el desarrollo de Internet, la tecnología web está cambiando con cada día que pasa. Siguiendo la interfaz General Gateway (CGI), ASP (Páginas Active Server) es una tecnología de diseño web típica del lado del servidor y se usa ampliamente en varias aplicaciones de Internet, como motores de banca en línea, comercio electrónico y búsqueda. Al mismo tiempo, Access Database, como un sistema de base de datos de escritorio lanzado por Microsoft con Standard Jet como motor, tiene una gran base de usuarios debido a su simple operación e interfaz amigable. Por lo tanto, ASP+Access se ha convertido en la solución preferida para muchos sistemas de aplicaciones en línea pequeños y medianos. Pero aunque las soluciones de acceso ASP+nos traen conveniencia, también traen problemas de seguridad que no pueden ignorarse.
Peligros de seguridad de ASP+Acceso Los principales peligros de seguridad de las soluciones de acceso ASP+provienen de la base de datos de seguridad de Access, y en segundo lugar radica en las vulnerabilidades de seguridad en el proceso de diseño web de ASP.
1. Riesgos de almacenamiento de la base de datos de acceso
En el sistema de aplicación ASP+Access, si se obtiene o adivinan la ruta de almacenamiento y el nombre de la base de datos de la base de datos de acceso, la base de datos se puede descargar localmente. Por ejemplo: para la base de datos de acceso de las librerías en línea, las personas generalmente lo nombran book.mdb, store.mdb, etc., y la ruta de almacenamiento generalmente es URL/base de datos o simplemente se coloca en el directorio raíz (url/). De esta manera, simplemente escriba la dirección: URL/Base de datos/store.mdb En la barra de direcciones del navegador, puede descargar fácilmente Store.mdb a la máquina local.
2. Decryciones de bases de datos ocultas de los peligros de acceso
Dado que el mecanismo de cifrado de la base de datos de acceso es muy simple, el descifrado es fácil incluso si la base de datos tiene una contraseña establecida. El sistema de la base de datos forma una cadena de cifrado Xoring la contraseña ingresada por el usuario con una clave fija y la almacena en el área a partir de la dirección y H42 en el archivo *.mdb. Dado que la operación XOR se caracteriza restaurando el valor original después de dos XORS, puede obtener fácilmente la contraseña de la base de datos de acceso realizando la segunda operación XOR con esta clave y la cadena de cifrado en el archivo *.mdb. Según este principio, los programas de descifrado se pueden preparar fácilmente.
Se puede ver que no importa si la contraseña de la base de datos está configurada o no, siempre que se descargue la base de datos, su información no tendrá seguridad.
3. Riesgos de seguridad del código fuente
Dado que los programas ASP usan idiomas no compilados, esto reduce en gran medida la seguridad del código fuente del programa. Cualquiera puede obtener el código fuente siempre que ingrese al sitio, lo que resulta en la fuga del código fuente de la aplicación ASP.
4. Peligros de seguridad en la programación
El código ASP utiliza formularios para realizar la función de interactuar con los usuarios, y el contenido correspondiente se reflejará en la barra de direcciones del navegador. Si no se adoptan medidas de seguridad apropiadas, simplemente escriba estos contenidos y puede evitar la verificación y ir directamente a una determinada página. Por ejemplo, en el navegador, puede ingresar directamente la página que cumple con la condición X = 1 sin pasar por la página del formulario. Por lo tanto, se deben tomar medidas especiales para evitar tales problemas al diseñar páginas de verificación o registro.
Mejorar la seguridad de la base de datos Dado que el mecanismo de cifrado de la base de datos de acceso es demasiado simple, cómo evitar que la base de datos de acceso se descargue se ha convertido en la principal prioridad para mejorar la seguridad de las soluciones de ASP+Access.
1. Nomenclatura no convencional
Una manera fácil de evitar que se encuentre una base de datos es darle al archivo de datos de acceso un nombre complejo y poco convencional y almacenarlo en un directorio de múltiples capas. Por ejemplo, para archivos de base de datos en línea de la librería, no los nombres simplemente los book.mdb o store.mdb, sino que les dé un nombre no convencional, por ejemplo:
faq19jhsvzbal.mdb, y luego póngalo en un directorio profundo como ./akkjj16t/kjhgb661/acd/avccx55. De esta manera, puede evitar efectivamente algunos métodos de acceso ilegal que obtienen nombres de archivos de base de datos de acceso a través de adivinanzas.
2. Use la fuente de datos ODBC
En la programación ASP, debe intentar usar fuentes de datos ODBC y no escribir el nombre de la base de datos directamente en el programa. De lo contrario, el nombre de la base de datos perderá sus secretos junto con el código fuente de ASP. Por ejemplo:
| Dbpath = server.mappath (./ akkjj16t/ kjhgb661/acd/avccx55/faq19jhsvzbal.mdb) Conn.open Driver = {Microsoft Access Driver (*.mdb)}; dbq = & dbpath |
Se puede ver que no importa cuán extraño sea el nombre de la base de datos o cuán profundo sea el directorio oculto, la base de datos se descargará fácilmente después de que se pierda el código fuente de ASP. Si usa la fuente de datos ODBC, no habrá tal problema:
conn.open ODBC-DSN Nombre
Cifrar páginas ASP Para evitar efectivamente la fuga del código fuente de ASP, las páginas ASP se pueden encriptar. Generalmente hay dos formas de cifrar páginas ASP. Una es usar la tecnología de componentes para encapsular la lógica de programación en la DLL; El otro es usar el codificador de script de Microsoft para cifrar páginas ASP. El autor cree que el principal problema con el uso de la tecnología de componentes es que cada pieza de código debe ser componente, lo cual es más engorroso y tiene una gran carga de trabajo; Si bien el uso de Script Coder para encriptar las páginas ASP es fácil de operar y tiene buenos resultados.
El método del codificador de script tiene muchas ventajas:
1.html sigue siendo muy editable. El codificador de script solo encripta el código ASP integrado en las páginas HTML, y otras partes permanecen sin cambios, lo que nos permite usar herramientas de edición web comunes como Front Page o Dreamweaver para modificar y mejorar la parte HTML. Sin embargo, la parte cifrada ASP no se puede modificar, de lo contrario el archivo no será válido.
2. Operación simple. Simplemente domine algunos parámetros de línea de comando. El programa en ejecución del codificador de script es screnc.exe, que se utiliza de la siguiente manera:
| screnc [/s] [/f] [/xl] [/l Deflanguage] [/e Defextension] InputFile OutputFile |
Compartir: Optimización de ASP: varias mejores opciones para mejorar el rendimiento de ASP Los desarrolladores de ASP trabajan constantemente para obtener un mejor rendimiento y escalabilidad en sus proyectos de diseño. Afortunadamente, hay muchos libros y sitios que brindan excelentes consejos sobre esto. Sin embargo, la base de estas sugerencias es la conclusión extraída de la estructura del trabajo de la plataforma ASP,
2 páginas en el total de la página 12 Página siguiente