网站首页  注册会员  本站免费电影 留言板  繁體中文

 

您现在的位置: 陈鹏个人网站 >> 电脑应用 >> 网络应用 >> 网络安全 >> 正文
 

|
闂傚倸鍊搁崐鎼佸磹閻戣姤鍊块柨鏇楀亾妞ゎ亜鍟村畷褰掝敋閸涱垰鏁搁梻渚€鈧偛鑻晶鎵磼鏉堛劌娴鐐存崌楠炴帒鈹戦崼婵囧€梺璇叉唉椤煤濡厧鍨濋柟鎹愵嚙缁犲湱鎲搁悧鍫濅刊闁轰礁鍟撮弻銊モ攽閸℃ê娅f繝纰樺墲婵炲﹤顫忕紒妯诲闁告稑锕ラ崕鎾绘⒑閸濄儱娅忛柛瀣工閻g兘骞囬妯规睏闂佸湱鍎ら崹鑸垫綇閸儲顥婃い鎰╁灪婢跺嫰鏌熸搴㈠殌闁宠棄顦垫慨鈧柍鈺佸暞閻濇娊姊绘担铏广€婇柛鎾寸箞閹兘濡烽埡浣哄幈閻庡厜鍋撻柛鏇ㄥ厴閹锋椽姊婚崒姘卞缂佸甯¢弫宥夊籍閸喓鍘甸梺鍛婂灟閸婃牜鈧熬鎷�
|
缂傚倸鍊搁崐鎼佸磹閻戣姤鍤勯柛顐f礃閹偤骞栧ǎ顒€濡奸柣顓燁殜楠炴牕菐椤掆偓婵¤偐绱掗埀顒勫磼濞戞氨顔曢梺鐟邦嚟閸婃垵顫濈捄鍝勫殤闁瑰吋鐣崝宥夋偂韫囨稓鍙撻柛銉亽閸儱纾婚柟鎯х-閺嗭箓鏌涢妷銏℃珖鐎规挷绶氬濠氬磼濞嗘埈妲梺姹囧€曞ú銈夈€呮總绋课╅柍鍝勫€稿▓鎴︽⒑閸撴彃浜濇繛鍙夌墵瀹曞綊宕掗悙瀵稿弳闂佺粯娲栭崐鍦偓姘炬嫹
|
濠电姷鏁告慨鐑藉极閹间礁纾绘繛鎴欏灪閸嬨倝鏌曟繛褍鎳庨弳妤呮⒑缁嬭法鐏遍柛瀣〒缁牓宕橀鐣屽帗闂佸憡绻傜€氼剟鍩€椤掍焦鍊愮€规洘绮撻、妤呭礋椤戣姤瀚奸梺鑽ゅТ濞测晝浜稿▎鎾崇闁革富鍘剧壕濂告煠绾板崬澧伴悽顖涚〒缁辨帡寮崒姘亪閻庤娲栭妶鍛婁繆閻戣棄唯鐟滃繐鐣烽崼鏇熲拻濞达綀濮ょ涵鍫曟煕閿濆繒鐣垫鐐茬箻閺佹捇鏁撻敓锟�
|
闂傚倸鍊搁崐椋庣矆娓氣偓楠炴牠顢曚綅閸ヮ剚鐒肩€广儱鎳愰敍鐔兼⒑閸︻厼顣兼繝銏★耿瀹曞綊宕掑☉鏍︾盎闂佸搫绉查崝宀勬倿瑜版帗鐓涢悗锝庝邯閸欏嫰鏌$仦鐐缂佺姵绋掔换婵嬪礃閵婏妇褰撮梻鍌欒兌鏋い鎴濇楠炴劙骞栨担鍝ュ弨婵犮垼娉涢敃锕傚汲閿曞倹鐓曢柕澶堝灪濞呭棙绻涢崼鐔搞仢婵﹨娅i幏鐘诲箵閹烘繂濡烽梻浣虹帛濡繘宕滈悢鑲╁祦闊洦绋掗弲鎼佹煥閻曞倹瀚�
|
缂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾惧綊鏌熼梻瀵割槮闁汇値鍠楅妵鍕冀椤愵澀绮堕梺鎼炲妼閸婂潡寮诲☉銏℃櫆閻犲洦褰冪粻褰掓⒑閹肩偛濡界紒璇茬墦瀵濡堕崶鈺冪厯闁荤姵浜介崝瀣垝閻㈠憡鈷戠紒瀣閹癸綁鏌涢悩宕囧⒌鐎殿喖顭烽弫鎾绘偐閼碱剦妲伴梻渚€娼ф灙闁稿寒鍣e畷鎴﹀箻楠炲じ姹楅梺鍦劋閸ㄨ埖娼忛崼銉︹拺閻犳亽鍔屽▍鎰版煙閸戙倖瀚�
|
IT闂傚倸鍊搁崐鎼佸磹妞嬪海鐭嗗〒姘e亾妤犵偞鐗犻、鏇㈡晝閳ь剛澹曡ぐ鎺撶厽闁硅揪绲鹃ˉ澶岀棯椤撴稑浜鹃梻鍌欑閹诧繝宕濋弴鐐嶇喐绻濋崒妯峰亾閹烘挾绡€婵﹩鍘鹃崣鍡涙⒑缂佹ɑ绀€闁稿﹤婀遍埀顒佺啲閹凤拷
|
闂傚倸鍊搁崐椋庣矆娴i潻鑰块梺顒€绉撮崒銊ф喐閺冨牆绠栨繛宸簻鎯熼梺闈涱樈閸犳绱炴惔銏㈢瘈闁汇垽娼ф牎闂佺厧缍婄粻鏍ь嚕閸涘﹦鐟归柍褜鍓熷濠氬即閵忕娀鍞跺┑鐘茬仛閸旀牜鐟х紓鍌氬€烽懗鑸靛垔椤撱垹闂柨婵嗩槸閽冪喓鈧箍鍎遍悧婊冾瀶閵娾晜鈷戦柛娑橈攻鐏忎即鏌i悢鍙夋珚闁靛棔绀侀埢搴ㄥ箳閺冨倹婢戞繝鐢靛仦閸ㄥ爼鎮烽敃鈧埢宥夊閵堝棌鎷洪柣鐘充航閸斿苯鈻嶉幇鐗堢厵闁告垯鍊栫€氾拷
|
闂傚倸鍊搁崐鎼佸磹閻戣姤鍊块柨鏇楀亾妞ゎ亜鍟村畷褰掝敋閸涱垰鏁搁梻渚€鈧偛鑻晶鎵磼鏉堛劌娴鐐存崌楠炴帒鈹戦崼婵囧€梺璇叉唉椤煤濡厧鍨濈€光偓閸曨剙浠奸梺缁樺灱濡嫰鎮欐繝鍥ㄧ厓闁告繂瀚弸锔剧磼鏉堫偄鐨虹紒杈ㄦ崌瀹曟帒顫濋钘変壕闁归棿鐒﹂崑瀣叓閸ャ劍鈷愰柛娆忕箻閺岋綁濮€閳惰泛缍婇幆灞轿旈崨顔惧弳闂佺粯娲栭崐鍦偓姘炬嫹
|
闂傚倸鍊搁崐宄懊归崶褏鏆﹂柣銏⑶圭粣妤呮煙閹殿喖顣奸柛瀣剁節閺屾洘寰勯崼婵嗗濠电偞鍨惰彜闁衡偓娴犲鍊甸柨婵嗗暙婵$兘鏌涚€n偅宕岀€规洘甯¢幃娆撳蓟閵夈儲鏆梻鍌欑閹碱偄煤閵娾晛纾婚柣鎰劋閸婂灚銇勯幒鍡椾壕闂佸疇顫夐崹鍧楀箖濞嗘挸鐭楀鑸瞪戦敍渚€姊绘担瑙勫仩闁告柨閰e畷浼村冀瑜滈崵鏇炩攽閻樺磭顣查柡鍛倐閺屻劑鎮ら崒娑橆伓
|
   
专 题 栏 目
 婵犵數濮烽弫鍛婃叏閻戣棄鏋侀柟闂寸绾剧粯绻涢幋鐐垫噧缂佸墎鍋ら弻娑㈠Ψ椤旂厧顫╃紓浣插亾闁割偆鍠撶弧鈧梻鍌氱墛缁嬫帡鏁嶉弮鍫熺厾闁哄娉曟禒銏ゆ婢舵劖鐓ユ繝闈涙閸f椽鎮归幇銊ュ⒉闁靛洤瀚伴崺锟犲礃閵娿儱绠i梻浣筋嚃閸犳盯锝炴径鎰闁告稒娼欐导鐘绘煏婢舵ê鐏g紒鈧繝鍕=闁稿本鐟чˇ锔姐亜閿旇鐏﹂柟顔矫埞鎴犫偓锝庝簽閸欌偓濠电姰鍨奸崺鏍礉閺囩姷涓嶅┑鐘崇閸婂灚绻涢幋鐑嗕痪妞ゅ繐妫楅ˉ姘舵煕閹邦剚鈻曟繛鎾愁煼閺屾洟宕煎┑鍫㈩唺闁诲簼绲婚崑鎰閹烘鏁婇柣锝呮湰閸Q冾渻閵堝棙绌跨紓宥勭閻g兘骞囬悧鍫濅簻闂佹儳绻楅~澶婎熆閹达附鈷掑ù锝呮啞閹牊绻涚仦鍌氬鐎规洑鍗抽獮妯肩磼濡桨绮ч梻浣芥硶閸o箓骞忛敓锟�
相 关 文 章

玩转酷狗音乐全局热键
netstat命令化身Win7安全
高手相助 保障QQ安全的七
成为零用钱高手的方法
QQ桌球白球的走位之高手
四国菜鸟晋阶高手的必修
成为四国军棋高手的必学
高手心得之QQ跳棋2对2之
高手心得:俄罗斯方块十
斗地主高手丞相谈技术加

 
高手应对ASP及Access的安全及对策           
高手应对ASP及Access的安全及对策
作者:陈鹏 文章来源:eNet 点击数:125 更新时间:2009-9-11 23:20:36
 




 

随着Internet的发展,Web技术日新月异。继通用网关接口(CGI)之后,“ASP”作为一种典型的服务器端网页设计技术,被广泛地应用在网上银行、电子商务、搜索引擎等各种互联网应用中。同时Access数据库作为微软推出的以标准JET为引擎的桌面型数据库系统,由于具有操作简单、界面友好等特点,具有较大的用户群体。因此ASP+Access成为许多中小型网上应用系统的首选方案。但ASP+Access解决方案在为我们带来便捷的同时,也带来了不容忽视的安全问题。

ASP+Access的安全隐患ASP+Access解决方案的主要安全隐患来自Access数据库的安全性,其次在于ASP网页设计过程中的安全漏洞。

1、Access数据库的存储隐患

在ASP+Access应用系统中,如果获得或者猜到Access数据库的存储路径和数据库名,则该数据库就可以被下载到本地。例如:对于网上书店的Access数据库,人们一般命名为book.mdb、store.mdb等,而存储的路径一般为“URL/database”或干脆放在根目录(“URL/”)下。这样,只要在浏览器地址栏中敲入地址:“URL/database/store.mdb”,就可以轻易地把store.mdb下载到本地的机器中。

2、Access数据库的解密隐患

由于Access数据库的加密机制非常简单,所以即使数据库设置了密码,解密也很容易。该数据库系统通过将用户输入的密码与某一固定密钥进行异或来形成一个加密串,并将其存储在*.mdb文件中从地址“&H42”开始的区域内。由于异或操作的特点是“经过两次异或就恢复原值”,因此,用这一密钥与*.mdb文件中的加密串进行第二次异或操作,就可以轻松地得到Access数据库的密码。基于这种原理,可以很容易地编制出解密程序。

由此可见,无论是否设置了数据库密码,只要数据库被下载,其信息就没有任何安全性可言了。

3、源代码的安全隐患

由于ASP程序采用的是非编译性语言,这大大降低了程序源代码的安全性。任何人只要进入站点,就可以获得源代码,从而造成ASP应用程序源代码的泄露。

4、程序设计中的安全隐患

ASP代码利用表单(form)实现与用户交互的功能,而相应的内容会反映在浏览器的地址栏中,如果不采用适当的安全措施,只要记下这些内容,就可以绕过验证直接进入某一页面。例如在浏览器中敲入“……page.asp?x=1”,即可不经过表单页面直接进入满足“x=1”条件的页面。因此,在设计验证或注册页面时,必须采取特殊措施来避免此类问题的发生。

提高数据库的安全性由于Access数据库加密机制过于简单,因此,如何有效地防止Access数据库被下载,就成了提高ASP+Access解决方案安全性的重中之重。

1、非常规命名法

防止数据库被找到的简便方法是为Access数据库文件起一个复杂的非常规名字,并把它存放在多层目录下。例如,对于网上书店的数据库文件,不要简单地命名为“book.mdb”或“store.mdb”,而是要起个非常规的名字,例如:faq19jhsvzbal.mdb,再把它放在如./akkjj16t/kjhgb661/acd/avccx55 之类的深层目录下。这样,对于一些通过猜的方式得到Access数据库文件名的非法访问方法起到了有效的阻止作用。

2、使用ODBC数据源

在ASP程序设计中,应尽量使用ODBC数据源,不要把数据库名直接写在程序中,否则,数据库名将随ASP源代码的失密而一同失密。例如:

DBPath = Server.MapPath(“./akkjj16t/ 
kjhgb661/acd/avccx55/faq19jhsvzbal.mdb ”) 
conn.Open “driver={Microsoft Access Driver (*.mdb)};dbq=” & DBPath

可见,即使数据库名字起得再怪异,隐藏的目录再深,ASP源代码失密后,数据库也很容易被下载下来。如果使用ODBC数据源,就不会存在这样的问题了:conn.open
“ODBC-DSN名”

对ASP页面进行加密为有效地防止ASP源代码泄露,可以对ASP页面进行加密。一般有两种方法对ASP页面进行加密。一种是使用组件技术将编程逻辑封装入DLL之中;另一种是使用微软的Script Encoder对ASP页面进行加密。笔者认为,使用组件技术存在的主要问题是每段代码均需组件化,操作比较烦琐,工作量较大;而使用Script Encoder对ASP页面进行加密,操作简单、收效良好。

Script Encoder方法具有许多优点:

1.HTML仍具有很好的可编辑性。Script Encoder只加密在HTML页面中嵌入的ASP代码,其他部分仍保持不变,这就使得我们仍然可以使用FrontPage或Dreamweaver等常用网页编辑工具对HTML部分进行修改、完善,只是不能对ASP加密部分进行修改,否则将导致文件失效。

2.操作简单。只要掌握几个命令行参数即可。Script Encoder的运行程序是screnc.exe,其使用方法如下:

screnc [/s] [/f] [/xl] [/l defLanguage ] [/e defExtension] inputfile outputfile

其中的参数含义如下:

s:屏蔽屏幕输出;

f:指定输出文件是否覆盖同名输入文件;

xl:是否在.asp文件的顶部添加@Language指令;

l:defLanguag指定缺省的脚本语言;

e:defExtension 指定待加密文件的扩展名。

3.可以批量加密文件。使用Script Encoder可以对当前目录中的所有的ASP 文件进行加密,并把加密后的文件统一输出到相应的目录中。

4. Script Encoder是免费软件。该加密软件可以从微软网站下载。

利用Session对象进行注册验证,为防止未经注册的用户绕过注册界面直接进入应用系统,可以采用Session对象进行注册验证。Session对象最大的优点是可以把某用户的信息保留下来,让后续的网页读取。例如,要设计如图1所示的注册页面。

设计要求用户注册成功后系统启动hrmis.asp?page=1页面。如果不采用Session对象进行注册验证,则用户在浏览器中敲入“URL/hrmis.asp?page=1”即可绕过注册界面,直接进入系统。利用Session对象可以有效阻止这一情况的发生。相关的程序代码如下:

<% ' 读取用户输入的账号和密码 
UserID = Request(“UserID”) 
Password = Request(“Password”) 
' 检查UserID 及Password 是否正确(实际程序可能会比较复杂) 
If UserID <> “hrmis” Or Password <> 
“password” Then 
Response.Write “账号错误!” 
Response.End 
End If 
'将Session 对象设置为通过验证状态 
Session(“Passed”) = True 
%> 
进入应用程序后,首先进行验证: 
<% '如果未通过验证,返回Login状态 
If Not Session(“Passed”) Then 
Response.Redirect “login.htm” 
End If 
%>


【责任编辑 王蕊】

文章录入:陈鹏    责任编辑:陈鹏 
  • 上一篇文章:

  • 下一篇文章:
  • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
     
     
     
     
     

    Copyright © 2007 - 2009 chenpeng123.com All Rights Reserved
    本站所有文章,软件等均来自网络收集,不代表本站观点,仅供学习和研究使用。如有侵犯您的版权,请联系我们,本站将立即删除。
    鲁ICP备07014697号
    你是本站第 位访客
    51La