ASP+アクセスの安全上の危険とソリューション

推奨：ASPとJSPの違いと接続
私は今日フォーラムに行き、ネチズンのブルースキーがより良い質問をしたのを見ました、ASPまたはJSP、そして違いは何ですか？ JSPにはスレッドの安全性の問題がありますが、ASPにはスレッドの安全性の問題はないようです。これは、ASPが良いことを意味するものではありません。それどころか、ASPがそれほど良くないことを意味します

インターネットの開発に伴い、毎日の合格ごとにWebテクノロジーが変化しています。一般的なゲートウェイインターフェイス（CGI）に従って、ASP（Active Serverページ）は典型的なサーバー側のWebデザインテクノロジーであり、オンラインバンキング、eコマース、検索エンジンなどのさまざまなインターネットアプリケーションで広く使用されています。同時に、アクセスデータベースは、エンジンとして標準ジェットを備えたMicrosoftによって起動されたデスクトップデータベースシステムとして、単純な操作とフレンドリーなインターフェイスのために大きなユーザーベースを持っています。したがって、ASP+アクセスは、多くの中小規模のオンラインアプリケーションシステムにとって好ましいソリューションになりました。しかし、ASP+アクセスソリューションは利便性をもたらしますが、無視できないセキュリティの問題ももたらします。

ASP+アクセスのセキュリティハザードASP+アクセスソリューションの主なセキュリティハザードは、アクセスデータベースのセキュリティから得られ、次にASP Web設計プロセスのセキュリティの脆弱性にあります。

1。アクセスデータベースのストレージリスク

ASP+アクセスアプリケーションシステムでは、アクセスデータベースのストレージパスとデータベース名が取得または推測される場合、データベースはローカルでダウンロードできます。たとえば、オンライン書店のアクセスデータベースの場合、人々は一般にit book.mdb、store.mdbなどと名付けられ、ストレージパスは通常URL/データベースであるか、単にルートディレクトリ（URL/）に配置されます。このようにして、アドレスを入力するだけです：url/database/store.mdbブラウザーアドレスバーでは、store.mdbをローカルマシンに簡単にダウンロードできます。

2。アクセスデータベースの復号化の隠された危険

アクセスデータベースの暗号化メカニズムは非常に簡単であるため、データベースにパスワードセットがある場合でも、復号化は簡単です。データベースシステムは、固定キーを使用してユーザーが入力したパスワードをXaringすることにより、暗号化文字列を形成し、 *.mdbファイルのアドレスとH42から開始してエリアに保存します。 XOR操作は、2つのXORの後に元の値を復元することで特徴付けられるため、このキーと暗号化文字列を *.MDBファイルで2番目のXOR操作を実行することで、アクセスデータベースのパスワードを簡単に取得できます。この原則に基づいて、復号化プログラムは簡単に準備できます。

データベースがダウンロードされている限り、データベースパスワードが設定されているかどうかに関係なく、その情報にはセキュリティがありません。

3。ソースコードのセキュリティリスク

ASPプログラムはコンパイルされていない言語を使用しているため、プログラムソースコードのセキュリティが大幅に減少します。誰でもサイトに入っている限りソースコードを取得でき、ASPアプリケーションのソースコードが漏れています。

4。プログラミングの安全上の危険

ASPコードはフォームを使用してユーザーと対話する機能を実現し、対応するコンテンツはブラウザのアドレスバーに反映されます。適切なセキュリティ対策が採用されていない場合は、これらのコンテンツを書き留めるだけで、検証をバイパスして、特定のページに直接移動できます。たとえば、ブラウザでは、フォームページを通過せずにx = 1条件を満たすページを直接入力できます。したがって、検証または登録ページを設計する際には、そのような問題を回避するために特別な措置を講じる必要があります。

データベースセキュリティの改善アクセスデータベース暗号化メカニズムは簡単すぎるため、アクセスデータベースがダウンロードされるのを効果的に防ぐ方法は、ASP+アクセスソリューションのセキュリティを改善するための最優先事項になりました。

1。型破りな命名法

データベースが見つからないようにする簡単な方法は、アクセスデータベースファイルに複雑で型破りな名前を付与し、マルチレイヤーディレクトリに保存することです。たとえば、オンラインBookStoreデータベースファイルの場合、book.mdbまたはstore.mdbという名前だけではなく、型破りな名前を付けるだけではありません。

faq19jhsvzbal.mdb、そしてそれを./akkjj16t/kjhgb661/acd/avccx55などの深いディレクトリに入れます。このようにして、推測を通じてアクセスデータベースファイル名を取得する違法アクセス方法を効果的に防止できます。

2。ODBCデータソースを使用します

ASPプログラミングでは、ODBCデータソースを使用してみて、プログラムにデータベース名を直接記述しないでください。それ以外の場合、データベース名はASPソースコードとともに秘密を失います。例えば：

データベース名がどれほど奇妙であるか、非表示ディレクトリがどれほど深いかに関係なく、ASPソースコードが失われた後、データベースは簡単にダウンロードされることがわかります。 ODBCデータソースを使用する場合、そのような問題はありません。

conn.open odbc-dsn名

ASPページを暗号化して、ASPソースコードの漏れを効果的に防ぐために、ASPページを暗号化できます。通常、ASPページを暗号化する方法は2つあります。 1つは、コンポーネントテクノロジーを使用して、プログラミングロジックをDLLにカプセル化することです。もう1つは、Microsoftのスクリプトエンコーダを使用してASPページを暗号化することです。著者は、コンポーネントテクノロジーの使用に関する主な問題は、各コードをコンポーネント化する必要があることであり、より面倒で大きなワークロードがあることです。 Script Encoderを使用してASPページを暗号化するのは簡単で、良い結果が得られます。

スクリプトエンコーダーメソッドには多くの利点があります。

1.HTMLはまだ非常に編集可能です。 Script Encoderは、HTMLページに埋め込まれたASPコードのみを暗号化するだけで、他の部品は変更されていないため、FrontPageやDreamWeaverなどの一般的なWeb編集ツールを使用してHTMLパーツを変更および改善できます。ただし、ASP暗号化された部品を変更することはできません。そうしないと、ファイルが無効になります。

2。簡単な操作。いくつかのコマンドラインパラメーターをマスターするだけです。スクリプトエンコーダーの実行プログラムはscrenc.exeで、次のように使用されます。

共有：ASP最適化：ASPパフォーマンスを改善するためのいくつかの最良の選択肢
ASP開発者は、設計プロジェクトのパフォーマンスとスケーラビリティを向上させるために常に取り組んでいます。幸いなことに、これについて素晴らしいアドバイスを提供する本やサイトがたくさんあります。ただし、これらの提案の根拠は、ASPプラットフォーム作業の構造から引き出された結論です。