Опасности безопасности и решения ASP+Access

Рекомендуется: разница и связь между ASP и JSP
Сегодня я пошел на форум и увидел, что сети -блюзский задал вопрос, который лучше, ASP или JSP, и в чем разница? Похоже, что для ASP нет проблемы с безопасностью потока, в то время как для JSP возникает проблема безопасности потока. Это не означает, что ASP хорош, напротив, это означает, что ASP не так хорош, как

С разработкой Интернета веб -технологии меняются с каждым днем. Следуя общему интерфейсу шлюза (CGI), ASP (Active Server Pages) является типичной технологией веб-дизайна на стороне сервера и широко используется в различных интернет-приложениях, таких как онлайн-банкинг, электронная коммерция и поисковые системы. В то же время, база данных Access, как система настольной базы данных, запускаемой Microsoft с Standard Jet в качестве двигателя, имеет большую пользовательскую базу из -за его простой работы и дружественного интерфейса. Следовательно, доступ ASP+стал предпочтительным решением для многих малых и средних онлайн-систем приложений. Но в то время как решения ASP+Access приносят нам работу, они также вызывают проблемы безопасности, которые нельзя игнорировать.

Опасности безопасности ASP+Доступ к основным опасностям безопасности решений ASP+Access поступает из базы данных безопасности доступа, а во -вторых, заключается в уязвимости безопасности в процессе веб -дизайна ASP.

1. Риски для хранения базы данных доступа

В системе приложений ASP+Access, если получаются или угадаются путь к базе данных базы данных базы данных, база данных можно загрузить локально. Например: для базы данных доступа в онлайн -книжных магазинах люди обычно называют его book.mdb, store.mdb и т. Д., И путь хранения, как правило, является URL/базой данных или просто размещен в корневом каталоге (URL/). Таким образом, просто введите адрес: url/database/store.mdb. В адресной строке браузера вы можете легко загрузить store.mdb на локальную машину.

2. Скрытые опасности расшифровки базы данных доступа

Поскольку механизм шифрования базы данных Access очень прост, дешифрование легко, даже если в базе данных есть набор паролей. Система базы данных образует строку шифрования, приводимой в систему пароля, введенного пользователем с фиксированной ключом, и хранит ее в области, начиная с адреса и H42 в файле *.mdb. Поскольку операция XOR характеризуется путем восстановления исходного значения после двух Xors, вы можете легко получить пароль базы данных Access, выполнив вторую операцию XOR с помощью этой клавиши и строки шифрования в файле *.MDB. Основываясь на этом принципе, программы дешифрования могут быть легко подготовлены.

Можно видеть, что независимо от того, установлен ли пароль базы данных или нет, если загружается база данных, его информация не будет иметь безопасности.

3. Риски безопасности исходного кода

Поскольку программы ASP используют некомпилированные языки, это значительно снижает безопасность исходного кода программы. Любой может получить исходный код, если они входят на сайт, что приводит к утечке исходного кода приложения ASP.

4. Опасности безопасности при программировании

Код ASP использует формы для реализации функции взаимодействия с пользователями, и соответствующий контент будет отражен в адресной строке браузера. Если соответствующие меры безопасности не будут приняты, просто запишите это содержимое, и вы можете обойти проверку и перейти непосредственно на определенную страницу. Например, в браузере вы можете напрямую ввести страницу, которая соответствует условию x = 1, не проходя через страницу формы. Следовательно, следует принимать особые меры, чтобы избежать таких проблем при разработке проверки или регистрации страниц.

Улучшение безопасности базы данных Поскольку механизм шифрования базы данных доступа слишком проста, как эффективно предотвратить загруженную базу данных доступа, стало главным приоритетом для повышения безопасности решений ASP+Access.

1. Неотрациональная номенклатура

Простой способ предотвратить обнаружение базы данных-дать файлу базы данных Access сложное и нетрадиционное имя и сохранить его в многослойном каталоге. Например, для файлов базы данных в Интернете, не просто назовите их book.mdb или store.mdb, но дайте им нетрадиционное имя, например:

faq19jhsvzbal.mdb, а затем поместите его в глубокий каталог, такой как ./akkjj16t/kjhgb661/acd/avccx55. Таким образом, это может эффективно предотвратить некоторые методы незаконного доступа, которые получают имена файлов базы данных доступа через предположение.

2. Используйте источник данных ODBC

В программировании ASP вы должны попытаться использовать источники данных ODBC и не писать имя базы данных непосредственно в программе. В противном случае имя базы данных потеряет свои секреты вместе с исходным кодом ASP. Например:

Можно видеть, что независимо от того, насколько странно имя базы данных или насколько глубок скрытый каталог, база данных будет легко загружена после того, как исходный код ASP будет потерян. Если вы используете источник данных ODBC, такой проблемы не будет:

Conn.Open ODBC-DSN Имя

Зашифруя страницы ASP, чтобы эффективно предотвратить утечку исходного кода ASP, страницы ASP могут быть зашифрованы. Как правило, есть два способа шифрования страниц ASP. Одним из них является использование компонентной технологии для инкапсуляции логики программирования в DLL; Другой - использовать энкодер сценария Microsoft для шифрования страниц ASP. Автор считает, что основная проблема с использованием компонентной технологии заключается в том, что каждый кусок кода должен быть компонентизирован, что является более громоздкой и имеет большую рабочую нагрузку; При использовании энкодера скрипта для шифрования страниц ASP прост в работе и имеет хорошие результаты.

Метод энкодера сценария имеет много преимуществ:

1.HTML все еще очень редактируемо. Скрипт -энкодер только шифрует код ASP, встроенный в HTML -страницы, а другие части остаются неизменными, что позволяет нам по -прежнему использовать общие инструменты для веб -редактирования, такие как FrontPage или DreamWeaver, для изменения и улучшения HTML -части. Однако зашифрованная часть ASP не может быть изменена, в противном случае файл будет недействительным.

2. Простая операция. Просто освоить несколько параметров командной строки. Заводящая программа сценариста - Screnc.exe, которая используется следующим образом:

Поделиться: оптимизация ASP: несколько лучших вариантов для повышения производительности ASP
Разработчики ASP постоянно работают, чтобы повысить производительность и масштабируемость в своих проектных проектах. К счастью, есть много книг и сайтов, которые дают отличные советы по этому поводу. Тем не менее, основой этих предложений является заключение, сделанное из структуры работы платформы ASP,