Direkomendasikan: Perbedaan dan koneksi antara ASP dan JSP Saya pergi ke forum hari ini dan melihat Netizen Bluesky mengajukan pertanyaan, mana yang lebih baik, ASP atau JSP, dan apa bedanya? Tampaknya tidak ada masalah keamanan utas untuk ASP, sementara ada masalah keamanan utas untuk JSP. Ini tidak berarti bahwa ASP baik, sebaliknya, itu berarti bahwa ASP tidak sebagus
Dengan pengembangan Internet, teknologi web berubah setiap hari. Mengikuti Antarmuka Geneway General (CGI), ASP (Active Server Pages) adalah teknologi desain web sisi server yang khas dan banyak digunakan dalam berbagai aplikasi internet seperti perbankan online, e-commerce, dan mesin pencari. Pada saat yang sama, Access Database, sebagai sistem basis data desktop yang diluncurkan oleh Microsoft dengan jet standar sebagai mesin, memiliki basis pengguna yang besar karena operasi yang sederhana dan antarmuka yang ramah. Oleh karena itu, akses ASP+telah menjadi solusi yang disukai untuk banyak sistem aplikasi online kecil dan menengah. Tetapi sementara solusi akses ASP+memberi kita kenyamanan, mereka juga membawa masalah keamanan yang tidak dapat diabaikan.
Bahaya Keamanan ASP+Akses Bahaya keamanan utama solusi akses ASP+berasal dari keamanan database akses, dan kedua terletak pada kerentanan keamanan dalam proses desain web ASP.
1. Risiko Penyimpanan Database Akses
Dalam sistem aplikasi ASP+Access, jika jalur penyimpanan dan nama basis data dari database akses diperoleh atau ditebak, basis data dapat diunduh secara lokal. Misalnya: Untuk database akses toko buku online, orang umumnya menamainya Book.mdb, Store.mdb, dll., Dan jalur penyimpanan umumnya URL/database atau hanya ditempatkan di direktori root (url/). Dengan cara ini, cukup ketik alamatnya: url/database/store.mdb di bilah alamat browser, Anda dapat dengan mudah mengunduh store.mdb ke mesin lokal.
2. Bahaya tersembunyi dari dekripsi basis data akses
Karena mekanisme enkripsi dari database akses sangat sederhana, dekripsi mudah bahkan jika database memiliki set kata sandi. Sistem basis data membentuk string enkripsi dengan xoring kata sandi yang dimasukkan oleh pengguna dengan tombol tetap dan menyimpannya di area mulai dari alamat & H42 di file *.mdb. Karena operasi XOR ditandai dengan memulihkan nilai asli setelah dua XORS, Anda dapat dengan mudah mendapatkan kata sandi dari database akses dengan melakukan operasi XOR kedua dengan kunci ini dan string enkripsi dalam file *.mdb. Berdasarkan prinsip ini, program dekripsi dapat dengan mudah disiapkan.
Dapat dilihat bahwa tidak peduli apakah kata sandi basis data diatur atau tidak, selama database diunduh, informasinya tidak akan memiliki keamanan.
3. Risiko Keamanan Kode Sumber
Karena program ASP menggunakan bahasa yang tidak dikompilasi, ini sangat mengurangi keamanan kode sumber program. Siapa pun dapat memperoleh kode sumber selama mereka memasukkan situs, menghasilkan kebocoran kode sumber aplikasi ASP.
4. Bahaya Keselamatan dalam Pemrograman
Kode ASP menggunakan formulir untuk mewujudkan fungsi berinteraksi dengan pengguna, dan konten yang sesuai akan tercermin dalam bilah alamat browser. Jika langkah -langkah keamanan yang tepat tidak diadopsi, cukup tuliskan konten ini dan Anda dapat melewati verifikasi dan langsung ke halaman tertentu. Misalnya, di browser, Anda dapat langsung memasukkan halaman yang memenuhi kondisi X = 1 tanpa melalui halaman Formulir. Oleh karena itu, langkah -langkah khusus harus diambil untuk menghindari masalah tersebut saat merancang halaman verifikasi atau pendaftaran.
Meningkatkan keamanan basis data karena mekanisme enkripsi basis data akses terlalu sederhana, bagaimana cara mencegah database akses secara efektif dari diunduh telah menjadi prioritas utama untuk meningkatkan keamanan solusi akses ASP+.
1. Nomenklatur yang tidak konvensional
Cara mudah untuk mencegah database yang ditemukan adalah dengan memberikan file database akses nama yang kompleks dan tidak konvensional dan menyimpannya di direktori multi-lapisan. Misalnya, untuk file database toko buku online, jangan hanya menyebutkannya book.mdb atau store.mdb, tetapi beri mereka nama yang tidak konvensional, misalnya:
faq19jhsvzbal.mdb, dan kemudian memasukkannya ke dalam direktori yang dalam seperti ./akkjj16t/kjhgb661/acd/avccx55. Dengan cara ini, dapat secara efektif mencegah beberapa metode akses ilegal yang mendapatkan nama file basis data akses melalui tebakan.
2. Gunakan sumber data ODBC
Dalam pemrograman ASP, Anda harus mencoba menggunakan sumber data ODBC dan tidak menulis nama basis data secara langsung dalam program. Kalau tidak, nama basis data akan kehilangan rahasianya bersama dengan kode sumber ASP. Misalnya:
| Dbpath = server.mappath (./ akkjj16t/ kjhgb661/acd/avccx55/faq19jhsvzbal.mdb) conn.open driver = {Microsoft Access Driver (*.mdb)}; dbq = & dbpath |
Dapat dilihat bahwa tidak peduli betapa anehnya nama basis data atau seberapa dalam direktori tersembunyi, basis data akan dengan mudah diunduh setelah kode sumber ASP hilang. Jika Anda menggunakan sumber data ODBC, tidak akan ada masalah seperti itu:
Nama Conn.Open ODBC-DSN
Mengenkripsi halaman ASP untuk secara efektif mencegah kebocoran kode sumber ASP, halaman ASP dapat dienkripsi. Umumnya ada dua cara untuk mengenkripsi halaman ASP. Salah satunya adalah menggunakan teknologi komponen untuk merangkum logika pemrograman ke dalam DLL; Yang lainnya adalah menggunakan encoder skrip Microsoft untuk mengenkripsi halaman ASP. Penulis percaya bahwa masalah utama dengan menggunakan teknologi komponen adalah bahwa setiap potongan kode perlu komponen, yang lebih rumit dan memiliki beban kerja yang besar; Saat menggunakan encoder skrip untuk mengenkripsi halaman ASP mudah dioperasikan dan memiliki hasil yang baik.
Metode encoder skrip memiliki banyak keunggulan:
1.html masih sangat diedit. Encoder skrip hanya mengenkripsi kode ASP yang tertanam dalam halaman HTML, dan bagian lain tetap tidak berubah, yang memungkinkan kita untuk tetap menggunakan alat pengeditan web umum seperti frontpage atau Dreamweaver untuk memodifikasi dan meningkatkan bagian HTML. Namun, bagian terenkripsi ASP tidak dapat dimodifikasi, jika tidak file akan tidak valid.
2. Operasi sederhana. Cukup menguasai beberapa parameter baris perintah. Program encoder skrip yang sedang berjalan adalah Screnc.exe, yang digunakan sebagai berikut:
| Screnc [/s] [/f] [/xl] [/l Defituruage] [/E defextension] InputFile OutputFile |
Bagikan: Optimalisasi ASP: Beberapa pilihan terbaik untuk meningkatkan kinerja ASP Pengembang ASP terus bekerja untuk mendapatkan kinerja dan skalabilitas yang lebih baik dalam proyek desain mereka. Untungnya, ada banyak buku dan situs yang memberikan saran bagus tentang ini. Namun, dasar dari saran -saran ini adalah kesimpulan yang diambil dari struktur pekerjaan platform ASP,
2 halaman Total halaman sebelumnya halaman berikutnya