แนะนำ: ความแตกต่างและการเชื่อมต่อระหว่าง ASP และ JSP วันนี้ฉันไปที่ฟอรัมและเห็น Netizen Bluesky ถามคำถามซึ่งดีกว่า ASP หรือ JSP และความแตกต่างคืออะไร? ดูเหมือนว่าจะไม่มีปัญหาด้านความปลอดภัยของด้ายสำหรับ ASP ในขณะที่มีปัญหาด้านความปลอดภัยของด้ายสำหรับ JSP นี่ไม่ได้หมายความว่า ASP นั้นดีในทางตรงกันข้ามหมายความว่า ASP ไม่ดีเท่า
ด้วยการพัฒนาอินเทอร์เน็ตเทคโนโลยีเว็บกำลังเปลี่ยนแปลงไปในแต่ละวันที่ผ่านไป การติดตามอินเทอร์เฟซเกตเวย์ทั่วไป (CGI), ASP (หน้าเซิร์ฟเวอร์ที่ใช้งานอยู่) เป็นเทคโนโลยีการออกแบบเว็บฝั่งเซิร์ฟเวอร์ทั่วไปและใช้กันอย่างแพร่หลายในแอปพลิเคชันอินเทอร์เน็ตต่างๆเช่นธนาคารออนไลน์อีคอมเมิร์ซและเครื่องมือค้นหา ในเวลาเดียวกันฐานข้อมูลการเข้าถึงซึ่งเป็นระบบฐานข้อมูลเดสก์ท็อปที่เปิดตัวโดย Microsoft พร้อมเจ็ทมาตรฐานเป็นเอ็นจิ้นมีฐานผู้ใช้ขนาดใหญ่เนื่องจากการทำงานอย่างง่ายและอินเทอร์เฟซที่เป็นมิตร ดังนั้นการเข้าถึง ASP+จึงกลายเป็นโซลูชันที่ต้องการสำหรับระบบแอปพลิเคชันออนไลน์ขนาดเล็กและขนาดกลางจำนวนมาก แต่ในขณะที่โซลูชั่น ASP+Access นำมาซึ่งความสะดวกแก่เราพวกเขายังนำปัญหาด้านความปลอดภัยที่ไม่สามารถเพิกเฉยได้
อันตรายด้านความปลอดภัยของ ASP+เข้าถึงอันตรายด้านความปลอดภัยหลักของโซลูชันการเข้าถึง ASP+มาจากฐานข้อมูลความปลอดภัยของการเข้าถึงและประการที่สองอยู่ในช่องโหว่ด้านความปลอดภัยในกระบวนการออกแบบเว็บ ASP
1. ความเสี่ยงที่เก็บข้อมูลของฐานข้อมูลการเข้าถึง
ในระบบแอปพลิเคชัน ASP+Access หากได้รับหรือชื่อฐานข้อมูลที่เก็บข้อมูลของฐานข้อมูลการเข้าถึงหรือเดาได้ฐานข้อมูลสามารถดาวน์โหลดได้ในเครื่อง ตัวอย่างเช่น: สำหรับฐานข้อมูลการเข้าถึงของร้านหนังสือออนไลน์คนโดยทั่วไปตั้งชื่อมันเป็น book.mdb, store.mdb ฯลฯ และเส้นทางการจัดเก็บโดยทั่วไปเป็น URL/ฐานข้อมูลหรือวางไว้ในไดเรกทอรีรูท (URL/) ด้วยวิธีนี้เพียงพิมพ์ที่อยู่: URL/Database/Store.mdb ในแถบที่อยู่เบราว์เซอร์คุณสามารถดาวน์โหลด store.mdb ไปยังเครื่องท้องถิ่นได้อย่างง่ายดาย
2. อันตรายที่ซ่อนอยู่ของการถอดรหัสฐานข้อมูลการเข้าถึง
เนื่องจากกลไกการเข้ารหัสของฐานข้อมูลการเข้าถึงนั้นง่ายมากการถอดรหัสจึงเป็นเรื่องง่ายแม้ว่าฐานข้อมูลจะมีชุดรหัสผ่าน ระบบฐานข้อมูลจะสร้างสตริงการเข้ารหัสโดย Xoring รหัสผ่านที่ผู้ใช้ป้อนโดยผู้ใช้ด้วยคีย์คงที่และเก็บไว้ในพื้นที่เริ่มต้นจากที่อยู่ & H42 ในไฟล์ *.MDB เนื่องจากการดำเนินการ XOR นั้นโดดเด่นด้วยการกู้คืนค่าดั้งเดิมหลังจากสอง XORS คุณสามารถรับรหัสผ่านของฐานข้อมูลการเข้าถึงได้อย่างง่ายดายโดยการดำเนินการ XOR ที่สองด้วยคีย์นี้และสตริงการเข้ารหัสในไฟล์ *.MDB ตามหลักการนี้โปรแกรมการถอดรหัสสามารถเตรียมได้อย่างง่ายดาย
จะเห็นได้ว่าไม่ว่ารหัสผ่านฐานข้อมูลจะถูกตั้งค่าหรือไม่ตราบใดที่การดาวน์โหลดฐานข้อมูลข้อมูลของมันจะไม่มีความปลอดภัย
3. ความเสี่ยงด้านความปลอดภัยของซอร์สโค้ด
เนื่องจากโปรแกรม ASP ใช้ภาษาที่ไม่ได้รวบรวมสิ่งนี้จะช่วยลดความปลอดภัยของซอร์สโค้ดโปรแกรมได้อย่างมาก ทุกคนสามารถรับซอร์สโค้ดได้ตราบใดที่พวกเขาเข้าสู่เว็บไซต์ส่งผลให้เกิดการรั่วไหลของซอร์สโค้ดของแอปพลิเคชัน ASP
4. อันตรายด้านความปลอดภัยในการเขียนโปรแกรม
รหัส ASP ใช้แบบฟอร์มเพื่อรับรู้ฟังก์ชั่นของการโต้ตอบกับผู้ใช้และเนื้อหาที่เกี่ยวข้องจะถูกสะท้อนในแถบที่อยู่ของเบราว์เซอร์ หากไม่มีการใช้มาตรการรักษาความปลอดภัยที่เหมาะสมเพียงแค่เขียนเนื้อหาเหล่านี้และคุณสามารถข้ามการตรวจสอบและไปยังหน้าหนึ่งโดยตรง ตัวอย่างเช่นในเบราว์เซอร์คุณสามารถป้อนหน้าเว็บที่ตรงกับเงื่อนไข x = 1 โดยตรงโดยไม่ต้องผ่านหน้าฟอร์ม ดังนั้นจะต้องมีมาตรการพิเศษเพื่อหลีกเลี่ยงปัญหาดังกล่าวเมื่อออกแบบการตรวจสอบหรือหน้าลงทะเบียน
การปรับปรุงความปลอดภัยของฐานข้อมูลเนื่องจากกลไกการเข้ารหัสฐานข้อมูลการเข้าถึงนั้นง่ายเกินไปวิธีป้องกันไม่ให้ฐานข้อมูลการเข้าถึงถูกดาวน์โหลดได้กลายเป็นสิ่งสำคัญที่สุดสำหรับการปรับปรุงความปลอดภัยของโซลูชัน ASP+Access
1. ระบบการตั้งชื่อที่ไม่เป็นทางการ
วิธีที่ง่ายในการป้องกันไม่ให้ฐานข้อมูลถูกค้นพบคือให้ไฟล์ฐานข้อมูลการเข้าถึงมีชื่อที่ซับซ้อนและไม่เป็นทางการและจัดเก็บไว้ในไดเรกทอรีหลายชั้น ตัวอย่างเช่นสำหรับไฟล์ฐานข้อมูลร้านหนังสือออนไลน์อย่าเพิ่งตั้งชื่อพวกเขา Book.mdb หรือ store.mdb แต่ให้ชื่อที่แปลกใหม่เช่น: ตัวอย่างเช่น:
FAQ19JHSVZBAL.MDB จากนั้นใส่ไว้ในไดเรกทอรีที่ลึกเช่น ./AKKJJJ16T/KJHGB661/ACD/AVCCX55 ด้วยวิธีนี้มันสามารถป้องกันวิธีการเข้าถึงที่ผิดกฎหมายบางอย่างที่ได้รับชื่อไฟล์ฐานข้อมูลการเข้าถึงผ่านการคาดเดา
2. ใช้แหล่งข้อมูล ODBC
ในการเขียนโปรแกรม ASP คุณควรลองใช้แหล่งข้อมูล ODBC และไม่เขียนชื่อฐานข้อมูลโดยตรงในโปรแกรม มิฉะนั้นชื่อฐานข้อมูลจะสูญเสียความลับพร้อมกับซอร์สโค้ด ASP ตัวอย่างเช่น:
| dbpath = server.mappath (./ akkjjj16t/ KJHGB661/ACD/AVCCX55/FAQ19JHSVZBAL.MDB) conn.open driver = {microsoft access driver (*.mdb)}; dbq = & dbpath |
จะเห็นได้ว่าไม่ว่าชื่อฐานข้อมูลจะแปลกแค่ไหนหรือว่าไดเรกทอรีที่ซ่อนอยู่นั้นลึกแค่ไหนฐานข้อมูลจะถูกดาวน์โหลดได้อย่างง่ายดายหลังจากซอร์สโค้ด ASP หายไป หากคุณใช้แหล่งข้อมูล ODBC จะไม่มีปัญหาดังกล่าว:
conn.open odbc-dsn ชื่อ
การเข้ารหัสหน้า ASP เพื่อป้องกันการรั่วไหลของซอร์สโค้ด ASP สามารถเข้ารหัสหน้า ASP ได้อย่างมีประสิทธิภาพ โดยทั่วไปมีสองวิธีในการเข้ารหัสหน้า ASP หนึ่งคือการใช้เทคโนโลยีส่วนประกอบเพื่อห่อหุ้มตรรกะการเขียนโปรแกรมลงใน DLL อีกอย่างคือการใช้ตัวเข้ารหัสสคริปต์ของ Microsoft เพื่อเข้ารหัสหน้า ASP ผู้เขียนเชื่อว่าปัญหาหลักของการใช้เทคโนโลยีส่วนประกอบคือแต่ละส่วนของรหัสต้องได้รับการกำหนดส่วนประกอบซึ่งยุ่งยากมากขึ้นและมีภาระงานขนาดใหญ่ ในขณะที่ใช้ตัวเข้ารหัสสคริปต์เพื่อเข้ารหัสหน้า ASP นั้นง่ายต่อการทำงานและมีผลลัพธ์ที่ดี
วิธีการเข้ารหัสสคริปต์มีข้อดีมากมาย:
1.HTML ยังคงแก้ไขได้มาก สคริปต์เข้ารหัสเฉพาะรหัส ASP ที่ฝังอยู่ในหน้า HTML และชิ้นส่วนอื่น ๆ ยังคงไม่เปลี่ยนแปลงซึ่งช่วยให้เรายังคงใช้เครื่องมือแก้ไขเว็บทั่วไปเช่น FrontPage หรือ Dreamweaver เพื่อแก้ไขและปรับปรุงส่วน HTML อย่างไรก็ตามส่วนที่เข้ารหัส ASP ไม่สามารถแก้ไขได้มิฉะนั้นไฟล์จะไม่ถูกต้อง
2. การทำงานง่าย ๆ เพียงแค่ควบคุมพารามิเตอร์บรรทัดคำสั่งสองสามตัว โปรแกรมที่รันของตัวเข้ารหัสสคริปต์คือ screnc.exe ซึ่งใช้ดังนี้:
| Screnc [/s] [/f] [/xl] [/l deflanguage] [/e defextension] เอาท์พุท File อินพุต |
แบ่งปัน: การเพิ่มประสิทธิภาพ ASP: ตัวเลือกที่ดีที่สุดหลายประการในการปรับปรุงประสิทธิภาพ ASP นักพัฒนา ASP ทำงานอย่างต่อเนื่องเพื่อให้ได้ประสิทธิภาพที่ดีขึ้นและปรับขนาดได้ในโครงการออกแบบของพวกเขา โชคดีที่มีหนังสือและเว็บไซต์มากมายที่ให้คำแนะนำที่ดีเกี่ยวกับเรื่องนี้ อย่างไรก็ตามพื้นฐานของคำแนะนำเหล่านี้คือข้อสรุปที่ดึงมาจากโครงสร้างของงานแพลตฟอร์ม ASP
2 หน้ารวมหน้าก่อนหน้า 12 หน้าถัดไป