誰もが知っているように、ASP+アクセスの最大のセキュリティリスクは、アクセスデータベースに他の人がアクセスできることです。
ダウンロード、および提供されるASPスペースの多くは現在、アクセスデータベースのみをサポートするため、
ASP+アクセスのセキュリティ問題は非常に顕著であるようです。
1。アクセスデータベースのストレージリスク
ASP+アクセスアプリケーションシステムで、アクセスデータベースのストレージパスを取得または推測する場合
データベースは、パスとデータベース名でローカルにダウンロードできます。
2。アクセスデータベースの復号化の隠された危険
アクセスデータベースの暗号化メカニズムは非常に簡単であるため、データベースにパスワードがある場合でも、
復号化も簡単です。データベースシステムは、ユーザーが入力したパスワードを固定キーに使用します
XOR暗号化文字列を形成し、 *.mdbファイルに保存してアドレスから開く "&h42"
最初のエリアで。 XOR操作は「2つのXORの後に元の値を復元する」ことによって特徴付けられるため、
これにより、 *.mdbファイルでこのキーと暗号化文字列を使用して2番目のXOR操作を実行できます。
アクセスデータベースのパスワードを簡単に入手できます。この原則に基づいて、復号化は簡単に準備できます
プログラム。
データベースがダウンロードされている限り、データベースパスワードが設定されているかどうかに関係なく、その情報にはセキュリティがありません。
3。プログラミングの安全上の危険
ASPコードはフォームを使用してユーザーと対話する機能を実装し、対応するコンテンツが逆になります。
適切なセキュリティ対策が使用されない場合は、これらを書き留めるだけです
確認をバイパスして、特定のページに直接移動できます。たとえば、ブラウザでは、「...
page.asp?x = 1 "、フォームページを通過せずに「x = 1」条件を満たすページを直接入力できます
麺。したがって、検証または登録ページを設計する際には、そのような問題を回避するために特別な措置を講じる必要があります
の発生
============
解決
============
データベースのセキュリティを改善します
アクセスデータベース暗号化メカニズムは簡単すぎるため、アクセスを効果的に防ぐ方法
データベースがダウンロードされると、ASP+アクセスソリューションのセキュリティを改善するための最優先事項になります。
1。型破りな命名法
データベースが見つからないようにする簡単な方法は、複雑で非常に複雑なアクセスデータベースファイルを作成することです
多層ディレクトリに保存します。たとえば、オンライン書店データベースファイルの場合、
単に「book.mdb」または「store.mdb」という名前を付けないでください。
名前、たとえば:faq19jhsvzbal.mdb、それを入れます
./akkjj16t/kjhgb661/acd/avccx55およびその他のディープディレクトリなど。このように、