อย่างที่เราทราบความเสี่ยงด้านความปลอดภัยที่ใหญ่ที่สุดของ ASP+Access คือผู้อื่นสามารถเข้าถึงฐานข้อมูลการเข้าถึงได้
ดาวน์โหลดและช่องว่าง ASP จำนวนมากที่ให้ไว้ตอนนี้รองรับฐานข้อมูลการเข้าถึงเท่านั้นดังนั้น
ปัญหาด้านความปลอดภัยของการเข้าถึง ASP+ดูเหมือนจะโดดเด่นมาก
1. ความเสี่ยงที่เก็บข้อมูลของฐานข้อมูลการเข้าถึง
ในระบบแอปพลิเคชัน ASP+Access หากคุณได้รับหรือเดาเส้นทางการจัดเก็บของฐานข้อมูลการเข้าถึง
ฐานข้อมูลสามารถดาวน์โหลดได้ในเครื่องด้วยเส้นทางและชื่อฐานข้อมูล
2. อันตรายที่ซ่อนอยู่ของการถอดรหัสฐานข้อมูลการเข้าถึง
เนื่องจากกลไกการเข้ารหัสของฐานข้อมูลการเข้าถึงนั้นง่ายมากแม้ว่าฐานข้อมูลจะมีรหัสผ่าน
การถอดรหัสก็ง่าย ระบบฐานข้อมูลใช้รหัสผ่านที่ผู้ใช้ป้อนไปยังคีย์คงที่
XOR เป็นรูปแบบสตริงการเข้ารหัสและเก็บไว้ในไฟล์ *.MDB เพื่อเปิดจากที่อยู่ "& H42"
ในพื้นที่เริ่มต้น เนื่องจากการดำเนินการ XOR นั้นโดดเด่นด้วย "กู้คืนค่าดั้งเดิมหลังจากสอง XORS"
สิ่งนี้ช่วยให้คุณสามารถดำเนินการ XOR ที่สองด้วยคีย์นี้และสตริงการเข้ารหัสในไฟล์ *.MDB
รับรหัสผ่านของฐานข้อมูลการเข้าถึงได้อย่างง่ายดาย ขึ้นอยู่กับหลักการนี้การถอดรหัสสามารถเตรียมได้อย่างง่ายดาย
โปรแกรม
จะเห็นได้ว่าไม่ว่ารหัสผ่านฐานข้อมูลจะถูกตั้งค่าหรือไม่ตราบใดที่การดาวน์โหลดฐานข้อมูลข้อมูลของมันจะไม่มีความปลอดภัย
3. อันตรายด้านความปลอดภัยในการเขียนโปรแกรม
รหัส ASP ใช้แบบฟอร์มเพื่อใช้งานฟังก์ชั่นของการโต้ตอบกับผู้ใช้และเนื้อหาที่เกี่ยวข้องจะถูกย้อนกลับ
หากไม่ได้ใช้มาตรการรักษาความปลอดภัยที่เหมาะสมเพียงแค่เขียนสิ่งเหล่านี้
คุณสามารถข้ามการตรวจสอบและไปยังหน้าหนึ่งโดยตรง ตัวอย่างเช่นในเบราว์เซอร์พิมพ์ "...
page.asp? x = 1 "คุณสามารถป้อนหน้าเว็บที่ตรงกับเงื่อนไข" x = 1 "โดยตรงโดยไม่ต้องผ่านหน้าแบบฟอร์ม
ก๋วยเตี๋ยว. ดังนั้นต้องมีมาตรการพิเศษเพื่อหลีกเลี่ยงปัญหาดังกล่าวเมื่อออกแบบการตรวจสอบหรือหน้าลงทะเบียน
การเกิดขึ้นของ
-
สารละลาย
-
ปรับปรุงความปลอดภัยของฐานข้อมูล
เนื่องจากกลไกการเข้ารหัสฐานข้อมูลการเข้าถึงนั้นง่ายเกินไปวิธีป้องกันการเข้าถึงได้อย่างมีประสิทธิภาพ
เมื่อดาวน์โหลดฐานข้อมูลมันจะกลายเป็นสิ่งสำคัญอันดับต้น ๆ สำหรับการปรับปรุงความปลอดภัยของโซลูชัน ASP+Access
1. ระบบการตั้งชื่อที่ไม่เป็นทางการ
วิธีที่ง่ายในการป้องกันไม่ให้ฐานข้อมูลพบคือการสร้างไฟล์ฐานข้อมูลการเข้าถึงที่ซับซ้อนและซับซ้อนมาก
และเก็บไว้ในไดเรกทอรีหลายชั้น ตัวอย่างเช่นสำหรับไฟล์ฐานข้อมูลร้านหนังสือออนไลน์
อย่าเพียงแค่ตั้งชื่อมันว่า "book.mdb" หรือ "store.mdb" แต่สร้างความไม่เป็นทางการ
ชื่อตัวอย่างเช่น faq19jhsvzbal.mdb ใส่ไว้ใน
เช่น ./AKKJJ16T/KJHGB661/ACD/AVCCX55 และไดเรกทอรีลึกอื่น ๆ ด้วยวิธีนี้สำหรับ