Riscos de segurança e soluções de acesso ASP+

Recomendado: a diferença e a conexão entre asp e JSP
Fui ao fórum hoje e vi um internate em Bluesky fazer uma pergunta, o que é melhor, ASP ou JSP, e qual é a diferença? Parece não haver um problema de segurança de threads para ASP, enquanto existe um problema de segurança de threads para o JSP. Isso não significa que o ASP seja bom, pelo contrário, significa que o ASP não é tão bom quanto

Com o desenvolvimento da Internet, a tecnologia da Web está mudando a cada dia que passa. Seguindo a interface geral do gateway (CGI), o ASP (Ativo Server Pages) é uma tecnologia típica de design da web do lado do servidor e é amplamente utilizado em vários aplicativos da Internet, como bancos on-line, comércio eletrônico e mecanismos de pesquisa. Ao mesmo tempo, o Access Database, como um sistema de banco de dados de desktop lançado pela Microsoft com o Jet Standard como motor, possui uma grande base de usuários devido à sua operação simples e interface amigável. Portanto, o acesso ASP+se tornou a solução preferida para muitos sistemas de aplicativos on-line pequenos e médios. Mas, embora as soluções de acesso ASP+nos tragam conveniência, elas também trazem problemas de segurança que não podem ser ignorados.

Os riscos de segurança do ASP+acessarem os principais riscos de segurança das soluções de acesso ASP+vêm do banco de dados de segurança do acesso e, em segundo lugar, está nas vulnerabilidades de segurança no processo de design da web do ASP.

1. Riscos de armazenamento de banco de dados de acesso

No sistema de aplicativos ASP+Access, se o caminho de armazenamento e o nome do banco de dados do banco de dados de acesso forem obtidos ou adivinhados, o banco de dados poderá ser baixado localmente. Por exemplo: para o banco de dados de acesso de livrarias on -line, as pessoas geralmente nomeiam o livro de TI Book.mdb, store.mdb, etc., e o caminho de armazenamento geralmente é URL/banco de dados ou simplesmente colocado no diretório raiz (URL/). Dessa forma, basta digitar o endereço: URL/banco de dados/store.mdb Na barra de endereços do navegador, você pode fazer o download facilmente do store.mdb na máquina local.

2. Decriptografia de banco de dados de acesso oculto de acesso

Como o mecanismo de criptografia do banco de dados de acesso é muito simples, a descriptografia é fácil, mesmo que o banco de dados tenha um conjunto de senha. O sistema de banco de dados forma uma string de criptografia por Xoring a senha inserida pelo usuário com uma tecla fixa e a armazena na área que inicia a partir do endereço e H42 no arquivo *.mdb. Como a operação XOR é caracterizada pela restauração do valor original após dois XORS, você pode facilmente obter a senha do banco de dados de acesso executando a segunda operação XOR com esta tecla e a sequência de criptografia no arquivo *.mdb. Com base nesse princípio, os programas de descriptografia podem ser facilmente preparados.

Pode -se observar que, não importa se a senha do banco de dados está definida ou não, desde que o banco de dados seja baixado, suas informações não terão segurança.

3. Riscos de segurança do código -fonte

Como os programas ASP usam idiomas não compilados, isso reduz bastante a segurança do código-fonte do programa. Qualquer pessoa pode obter o código -fonte desde que entre no site, resultando no vazamento do código -fonte do aplicativo ASP.

4. Riscos de segurança na programação

O código ASP usa formulários para cumprir a função de interagir com os usuários, e o conteúdo correspondente será refletido na barra de endereços do navegador. Se as medidas de segurança apropriadas não forem adotadas, basta anotar esses conteúdos e você pode ignorar a verificação e ir diretamente para uma determinada página. Por exemplo, no navegador, você pode inserir diretamente a página que atende à condição x = 1 sem passar pela página do formulário. Portanto, devem ser tomadas medidas especiais para evitar esses problemas ao projetar páginas de verificação ou registro.

Melhorar a segurança do banco de dados, pois o mecanismo de criptografia de banco de dados de acesso é muito simples, como impedir efetivamente o Banco de Dados de Acesso a ser baixado tornou -se a principal prioridade para melhorar a segurança das soluções de acesso ASP+.

1. Nomenclatura não convencional

Uma maneira fácil de impedir que um banco de dados seja encontrado é dar ao arquivo de banco de dados de acesso um nome complexo e não convencional e armazená-lo em um diretório de várias camadas. Por exemplo, para arquivos de banco de dados de livrarias on -line, não os nomeie simplesmente book.mdb ou store.mdb, mas dê a eles um nome não convencional, por exemplo:

FAQ19JHSVZBAL.MDB e, em seguida, coloque -o em um diretório profundo como ./akkjj16t/kjhgb661/acd/avccx55. Dessa forma, pode efetivamente impedir alguns métodos de acesso ilegal que obtêm nomes de arquivos de banco de dados de acesso por meio de adivinhação.

2. Use a fonte de dados ODBC

Na programação ASP, você deve tentar usar as fontes de dados ODBC e não gravar o nome do banco de dados diretamente no programa. Caso contrário, o nome do banco de dados perderá seus segredos junto com o código -fonte ASP. Por exemplo:

Pode -se observar que, não importa o quão estranho seja o nome do banco de dados ou a profundidade do diretório oculto, o banco de dados será facilmente baixado depois que o código -fonte do ASP for perdido. Se você usar a fonte de dados ODBC, não haverá esse problema:

Conn.Open odbc-dsn nome

Criptografar as páginas ASP para impedir efetivamente o vazamento de código -fonte do ASP, as páginas ASP podem ser criptografadas. Geralmente, existem duas maneiras de criptografar as páginas ASP. Uma é usar a tecnologia de componentes para encapsular a lógica de programação na DLL; O outro é usar o codificador de script da Microsoft para criptografar as páginas ASP. O autor acredita que o principal problema do uso da tecnologia de componentes é que cada peça de código precisa ser componente, o que é mais pesado e tem uma grande carga de trabalho; Ao usar o codificador de scripts para criptografar as páginas ASP, é simples de operar e tem bons resultados.

O método do codificador de script tem muitas vantagens:

1.html ainda é muito editável. O codificador de script apenas criptografa o código ASP incorporado em páginas HTML, e outras peças permanecem inalteradas, o que nos permite usar ferramentas comuns de edição da web, como a página frontal ou o Dreamweaver para modificar e melhorar a parte HTML. No entanto, a peça criptografada ASP não pode ser modificada, caso contrário, o arquivo será inválido.

2. Operação simples. Basta dominar alguns parâmetros da linha de comando. O programa de execução do codificador de script é screnc.exe, que é usado da seguinte forma:

Compartilhar: Otimização de ASP: várias melhores opções para melhorar o desempenho do ASP
Os desenvolvedores da ASP estão constantemente trabalhando para obter melhor desempenho e escalabilidade em seus projetos de design. Felizmente, existem muitos livros e sites que fornecem ótimos conselhos sobre isso. No entanto, a base dessas sugestões é a conclusão tirada da estrutura do trabalho da plataforma ASP,