Dangers de sécurité et solutions de l'accès ASP +

Recommandé: la différence et la connexion entre ASP et JSP
Je suis allé au forum aujourd'hui et j'ai vu un internaute Bluesky a posé une question, ce qui est le meilleur, ASP ou JSP, et quelle est la différence? Il ne semble pas y avoir de problème de sécurité pour ASP, alors qu'il y a un problème de sécurité de fil pour JSP. Cela ne signifie pas que l'ASP est bon, au contraire, cela signifie que l'ASP n'est pas aussi bon que

Avec le développement d'Internet, la technologie Web change chaque jour qui passe. Suivant l'interface générale de passerelle (CGI), ASP (Pages de serveurs actifs) est une technologie de conception Web côté serveur typique et est largement utilisé dans diverses applications Internet telles que les banques en ligne, le commerce électronique et les moteurs de recherche. Dans le même temps, Access Database, en tant que système de base de données de bureau lancé par Microsoft avec Standard Jet en tant que moteur, dispose d'une grande base d'utilisateurs en raison de son fonctionnement simple et de son interface amicale. Par conséquent, l'accès ASP + est devenu la solution préférée pour de nombreux systèmes d'application en ligne de petits et moyens. Mais bien que les solutions ASP + Access nous apportent la commodité, elles apportent également des problèmes de sécurité qui ne peuvent pas être ignorés.

Les dangers de sécurité de l'ASP + Accès aux principaux risques de sécurité des solutions d'accès ASP + proviennent de la base de données de sécurité de l'accès, et se trouve deuxièmement dans les vulnérabilités de sécurité dans le processus de conception Web ASP.

1. Risques de stockage de la base de données d'accès

Dans le système d'application ASP + Access, si le chemin de stockage et le nom de la base de données de la base de données d'accès sont obtenus ou devinés, la base de données peut être téléchargée localement. Par exemple: pour la base de données d'accès des librairies en ligne, les gens le nomment généralement book.mdb, store.mdb, etc., et le chemin de stockage est généralement URL / base de données ou simplement placé dans le répertoire racine (URL /). De cette façon, tapez simplement l'adresse: URL / base de données / store.mdb dans la barre d'adresse du navigateur, vous pouvez facilement télécharger Store.mdb sur la machine locale.

2. Dangers cachés du décryptage de la base de données d'accès

Étant donné que le mécanisme de chiffrement de la base de données d'accès est très simple, le décryptage est facile même si la base de données a un jeu de mots de passe. Le système de base de données constitue une chaîne de chiffrement en xant le mot de passe entré par l'utilisateur avec une clé fixe et le stocke dans la zone à partir de l'adresse et H42 dans le fichier * .mdb. Étant donné que l'opération XOR est caractérisée par la restauration de la valeur d'origine après deux XOR, vous pouvez facilement obtenir le mot de passe de la base de données d'accès en effectuant la deuxième opération XOR avec cette clé et la chaîne de cryptage dans le fichier * .mdb. Sur la base de ce principe, les programmes de décryptage peuvent être facilement préparés.

On peut voir que, que le mot de passe de la base de données soit défini ou non, tant que la base de données est téléchargée, ses informations n'auront aucune sécurité.

3. Risques de sécurité du code source

Étant donné que les programmes ASP utilisent des langues non compilées, cela réduit considérablement la sécurité du code source du programme. Tout le monde peut obtenir le code source tant qu'il entre le site, ce qui entraîne la fuite du code source de l'application ASP.

4. Dangers de sécurité dans la programmation

Le code ASP utilise des formulaires pour réaliser la fonction d'interaction avec les utilisateurs, et le contenu correspondant sera reflété dans la barre d'adresse du navigateur. Si les mesures de sécurité appropriées ne sont pas adoptées, notez simplement ces contenus et vous pouvez contourner la vérification et accéder directement à une certaine page. Par exemple, dans le navigateur, vous pouvez saisir directement la page qui répond à la condition x = 1 sans passer par la page de formulaire. Par conséquent, des mesures spéciales doivent être prises pour éviter de tels problèmes lors de la conception de pages de vérification ou d'enregistrement.

L'amélioration de la sécurité de la base de données puisque le mécanisme de chiffrement de la base de données d'accès est trop simple, comment empêcher efficacement la base de données d'accès à être téléchargé est devenue la priorité absolue pour améliorer la sécurité des solutions d'accès ASP +.

1. Nomenclature non conventionnelle

Un moyen facile d'empêcher une base de données d'être trouvé est de donner au fichier de base de données d'accès un nom complexe et non conventionnel et de le stocker dans un répertoire multicouche. Par exemple, pour les fichiers de base de données de librairies en ligne, ne les nommez pas simplement book.mdb ou store.mdb, mais donnez-leur un nom non conventionnel, par exemple:

FAQ19JHSVZBAL.MDB, puis la mettez dans un répertoire profond tel que ./Akkjj16t/KJHGB661/ACD/AVCCX55. De cette façon, il peut empêcher efficacement certaines méthodes d'accès illégales qui obtiennent des noms de fichiers de base de données d'accès par devinettes.

2. Utilisez la source de données ODBC

Dans la programmation ASP, vous devez essayer d'utiliser les sources de données ODBC et n'écrivez pas le nom de base de données directement dans le programme. Sinon, le nom de la base de données perdra ses secrets avec le code source ASP. Par exemple:

On peut voir que peu importe à quel point le nom de la base de données est bizarre ou à quel point le répertoire caché est profondément, la base de données sera facilement téléchargée après la perte du code source ASP. Si vous utilisez la source de données ODBC, il n'y aura pas de tel problème:

Conn.open ODBC-DSN Nom

Encryport les pages ASP pour empêcher efficacement la fuite de code source ASP, les pages ASP peuvent être cryptées. Il existe généralement deux façons de crypter les pages ASP. L'une consiste à utiliser la technologie des composants pour encapsuler la logique de programmation dans la DLL; L'autre consiste à utiliser l'encodeur de script de Microsoft pour crypter les pages ASP. L'auteur estime que le principal problème de l'utilisation de la technologie des composants est que chaque morceau de code doit être composé, ce qui est plus lourd et a une grande charge de travail; Bien que l'utilisation de l'encodeur de script pour crypter les pages ASP est simple à utiliser et a de bons résultats.

La méthode de l'encodeur de script présente de nombreux avantages:

1.HTML est toujours très modifiable. Le codeur de script chiffre uniquement le code ASP intégré dans les pages HTML, et d'autres pièces restent inchangées, ce qui nous permet d'utiliser toujours des outils d'édition Web courants tels que FrontPage ou Dreamweaver pour modifier et améliorer la pièce HTML. Cependant, la pièce cryptée ASP ne peut pas être modifiée, sinon le fichier ne sera pas valide.

2. Fonctionnement simple. Il suffit de maîtriser quelques paramètres de ligne de commande. Le programme en cours d'exécution de Script Encoder est Screnc.exe, qui est utilisé comme suit:

Partager: Optimisation de l'ASP: plusieurs meilleurs choix pour améliorer les performances ASP
Les développeurs ASP travaillent constamment pour obtenir de meilleures performances et évolutivité dans leurs projets de conception. Heureusement, il existe de nombreux livres et sites qui fournissent d'excellents conseils à ce sujet. Cependant, la base de ces suggestions est la conclusion tirée de la structure du travail de la plate-forme ASP,