基于Access+ASP方案网站的安全性分析
日期:2018-07-18 11:22:45 浏览次数:
摘 要:Access+ASP搭建的动态网站被广泛应用于校园网、BBS等各种网络活动中,它简单方便的同时也带来了一些列的安全问题。本文就Access+ASP网站存在的主要安全隐患及防范对策进行了分析。
关键词:asp;数据库;安全防范;对策
中图分类号:TP393.08 文献标识码:A 文章编号:1671-2064(2017)07-0029-01
1 安全隐患分析
Access+ASP网站主要安全隐患一方面来自Access数据库的安全性,一方面来自ASP网页设计过程中的安全意识。
1.1 数据库被下载
数据库安全与否关系到网站的安全。ACCESS数据库名字的后缀是(*.mdb),攻击者可以通过多次路径猜想获取数据库。数据库中的关键信息特别是管理员用户名和密码,就完全暴露在攻击者的面前,这时网站已经无安全可言。解决这个问题的常规方法是先把数据库文件名的后缀由“.mdb”改为“.asp,再修改连接文件中的链接地址,这样即使别人猜到数据库文件名及存储位置,也不容易下载。原因是以“,mdb”结尾的文件内容是直接输出至浏览器页面,而以“.asp”结尾的文件则要经过处理,显示在浏览器页面上的内容是处理后的结果。采取这种方法保护数据库,攻击者仍可借助一些网络下载工具(flashget)顺利下载。这说明单纯修改数据库文件名的后缀还是不能避免被下载。
1.2 数据库被解密
网站将所使用的Access数据库在存储时采用了系统自带的加密方法,由于系统自带的加密方法是采用“异或”的方式来加密。这种加密方法简单安全性低,网上随便下载一个异或解密工具就可以轻松的获得密码字符串,这样数据库也会被完全解密。
1.3 ASP页面存在的安全问题
(1)ASP源代码不安全。由于ASP脚本程序是直接集成在HTML中,无需编译直接被浏览器解释和执行,一般用户能轻松获得ASP源代码;如果使用下载工具Teleport Ultra也能获得源代码,造成代码泄露。
(2)脚本程序设计考虑欠缺带来的安全隐患。网页设计中,用户和服务器的交流的主要工具是表单,用户通过表单向服务器提交和接收数据,服务器要依靠我们设计的脚本程序来处理和收集数据,我们在脚本程序设计中稍有考虑不周全的地方就会出现很多意想不到的安全问题。
2 安全防范措施
2.1 防止数据库被下载
Access简单兼容性好是小型数据库首先方案,安全方面只要做一些防范措施,还是可以确保网站的安全性。其中最重要的是防止数据库被下载。以下三种方法简单而有效。
(1)非常规取名,名字前加特殊符号。为Access数据库文件起一个复杂的名字,名字前加一个“#”或者空格符号,并把它放在多级目录下。非法下载时“#”前的会被识别,后的不被识别,空格被识别为“%”号。假设:http:///rt/# 000.mdb;http:///rt/%000.mdb存在,借助浏览器和工具下载时:前者下载的是网站首页文档,后者显示下载路径不存在。
(2)使用ODBC数据源。自己有服务器,可以使用ODBC数据源方法。只要注意在程序设计中不出现数据库的名字,数据库被下载的可能性就不存在,但是这种方法如果存储目录改变就要重新设置数据源比较麻烦。
(3)改变数据库位置,设置文件的权限。把数据库文件存放在网站主目录外的文件里,合理设置该文件的权限,做数据库名的MDB映射,修改连接,这样就可以正常调用数据库且不会被下载。
2.2 对数库进行md5加密并修改文件头
网上破解软件层出不穷,随便下载一个就可轻松破解数据库。笔者尝试先对数据库进行md5加密,再修改数据库的文件头,因为文件头的前16个字节保存了mdb文件的相关信息,一旦被修改,数据库的相关信息就被隐藏,即是数据库被下载了,破解的难度也很大。
2.3 对ASP页面进行加密
ASP页面加密常用的技术有三种,组件加密技术、微软的 Script Encoder技术、自编程序加密。组件加密技术不能反编译最安全,难破解,但是工作量大,代码较多的网站不易做到,因每段代码都需组件化封装; Script Encoder简单易学、可批量加密,支持多种脚本服务器语言如:ASP、HTML、JS等,应用范围广,但是存在加密后低版本浏览器可能会显示不正常,易被破解;自编程序加密的基本思路是写一个加密和一个解密函数,先对代码进行加密再在执行过程中解密,这种加密方法因人而异,可随时修改,发挥空间大,不容易被解密,但要求很高,一般人不容易实现。
网络环境复杂,技术更新快,攻击手段也是多种多样,我们只有根据实际情况,选择多种方法组合使用,网站信息才会更安全;同时要养成备份重要数据的习惯,随时做好计算机各种资料数据的备份,这样才能保证网站的安全性。
参考文献
[1]喻华.ASP网站的安全问题及对策分析.计算机与网络,2004.
(本文来自:WWw.bDFQy.com 千 叶 帆文摘:基于Access+ASP方案网站的安全性分析) [2]王宇虹.Access数据库系统开发从基础到实践[M].2006-3-1.
[3]张弘.初探中国ASP[M].电子与电脑,2001.
上一篇:推荐深耕社区教育的一部新作