亚洲精品国产suv一区_ IIS+ASP建網(wǎng)站安全性分析

IIS+ASP建網(wǎng)站安全性分析

    隨著(zhù)Internet的發(fā)展，Web技術(shù)日新月異，人們已經(jīng)不再滿(mǎn)足于靜態(tài)HTML技術(shù)，更多的是要求動(dòng)態(tài)、交互的網(wǎng)絡(luò )技術(shù)。繼通用網(wǎng)關(guān)接口（CGI）之后，微軟推出的IIS+ASP的解決方案作為一種典型的服務(wù)器端網(wǎng)頁(yè)設計技術(shù)，被廣泛應用在網(wǎng)上銀行、電子商務(wù)、網(wǎng)上調查、網(wǎng)上查詢(xún)、BBS、搜索引擎等各種互聯(lián)網(wǎng)應用中。與此同時(shí)，Access數據庫作為微軟推出的以標準JET為引擎的桌面型數據庫系統，由于具有操作簡(jiǎn)單、界面友好等特點(diǎn)，具有較大的用戶(hù)群體。目前，IIS+ASP+Access是中小型Internet網(wǎng)站的首選方案。但是，該解決方案在為我們帶來(lái)便捷的同時(shí)，也帶來(lái)了嚴峻的安全問(wèn)題。

一、安全隱患分析

　　IIS+ASP+Access解決方案的主要安全隱患來(lái)自Access數據庫的安全性，其次在于A(yíng)SP網(wǎng)頁(yè)設計過(guò)程中的安全意識和措施。
1．數據庫可能被下載
　　在IIS+ASP+Access網(wǎng)站中，如果有人通過(guò)各種方法獲得或者猜到數據庫的存儲路徑和文件名，則該數據庫就可以被下載到本地。例如：對于網(wǎng)上書(shū)店數據庫，一般命名為book.mdb、store.mdb等，存儲路徑一般為“URL/database”或放在根目錄“URL/”下，這樣，任何人敲入地址：“URL/database/store.mdb”，數據庫就可以被下載了。
2．數據庫可能被解密
　　由于A(yíng)ccess數據庫的加密機制比較簡(jiǎn)單，即使設置了密碼，解密也很容易。該數據庫系統通過(guò)將用戶(hù)輸入的密碼與某一固定密鑰（例如： Access 97為86 FB EC 37 5D 44 9C FA C6 5E 28 E6 13）進(jìn)行“異或”來(lái)形成一個(gè)加密串，并將其存儲在*.mdb文件從地址“&H42”開(kāi)始的區域內。我們可以輕松地編制解密程序，一個(gè)幾十行的小程序就可以輕松地獲得任何Access數據庫的密碼。因此，只要數據庫被下載，其信息就沒(méi)有任何安全性可言了。
3．ASP頁(yè)面的安全性
　?。?）源代碼安全性隱患。由于A(yíng)SP程序采用非編譯性語(yǔ)言，大大降低了程序源代碼的安全性。如果黑客侵入站點(diǎn)，就可以獲得ASP源代碼；同時(shí)對于租用服務(wù)器的用戶(hù)，因個(gè)別服務(wù)器出租商的職業(yè)道德問(wèn)題，也會(huì )造成ASP應用程序源代碼泄露。
　?。?）程序設計中容易被忽視的安全性問(wèn)題。ASP代碼使用表單實(shí)現交互，而相應的內容會(huì )反映在瀏覽器的地址欄中，如果不采用適當的安全措施，只要記下這些內容，就可以繞過(guò)驗證直接進(jìn)入某一頁(yè)面。例如在瀏覽器中敲入“...page.asp?x=1”，即可不經(jīng)過(guò)表單頁(yè)面直接進(jìn)入滿(mǎn)足“x=1”條件的頁(yè)面。因此，在驗證或注冊頁(yè)面中，必須采取特殊措施來(lái)避免此類(lèi)問(wèn)題的產(chǎn)生。

二、提高IIS+ASP網(wǎng)站安全性的方法


　　1．防止數據庫被下載
由于A(yíng)ccess數據庫加密機制過(guò)于簡(jiǎn)單，有效地防止數據庫被下載，就成了提高ASP+Access解決方案安全性的重中之重。以下兩種方法簡(jiǎn)單、有效。
　?。?）非常規命名法。為Access數據庫文件起一個(gè)復雜的非常規名字，并把它放在幾個(gè)目錄下。例如，對于網(wǎng)上書(shū)店的數據庫，我們不把它命名為“book.mdb”或“Store.mdb”，而是起個(gè)非常規的名字，例如：faq9jl.mdb，再把它放在如./akkt/kj61/acd/av5 的幾層目錄下，這樣黑客想通過(guò)猜的方式得到Access數據庫文件名就很難了。
　?。?）使用ODBC數據源。在A(yíng)SP程序設計中，如果有條件，應盡量使用ODBC數據源，不要把數據庫名寫(xiě)在程序中，否則，數據庫名將隨ASP源代碼的失密而一同失密，例如：
DBPath = Server.MapPath(“./akkt/kj61/acd/av5/faq9jl.mdb ”)
conn.open “driver={Microsoft Access Driver (*.mdb)};dbq=”& DBPath
可見(jiàn)，即使數據庫名字起得再怪異，隱藏的目錄再深，ASP源代碼失密后，也很容易被下載下來(lái)。如果使用ODBC數據源，就不會(huì )存在這樣的問(wèn)題了：
conn.open “ODBC-DSN名”
2．對ASP頁(yè)面進(jìn)行加密
　　為有效地防止ASP源代碼泄露，可以對ASP頁(yè)面進(jìn)行加密。我們曾采用兩種方法對ASP頁(yè)面進(jìn)行加密。一是使用組件技術(shù)將編程邏輯封裝入DLL之中；二是使用微軟的Script Encoder對ASP頁(yè)面進(jìn)行加密。使用組件技術(shù)存在的主要問(wèn)題是每段代碼均需組件化，操作比較繁瑣，工作量較大，而使用Encoder對ASP頁(yè)面進(jìn)行加密，操作簡(jiǎn)單、收效良好。Script Encoder的運行程序是SCRENC.EXE，使用方法是：
SCRENC [/s] [/f] [/xl] [/l defLanguage ] [/e defExtension] inputfile outputfile
其中：/s 是屏蔽屏幕輸出；/f 指定輸出文件是否覆蓋同名輸入文件；/xl 指是否在.asp文件的頂部添加@Language指令；/l defLanguag指定缺省的腳本語(yǔ)言; /e defExtension 指定待加密文件的擴展名。
3．注冊驗證
　　為防止未經(jīng)注冊的用戶(hù)繞過(guò)注冊界面直接進(jìn)入應用系統，我們采用Session對象進(jìn)行注冊驗證。例如，我們制作了下面的注冊頁(yè)面。
設計要求注冊成功后系統啟動(dòng)hrmis.asp?page=1頁(yè)面。假設，不采用Session對象進(jìn)行注冊驗證，則用戶(hù)在瀏覽器中敲入“URL/hrmis.asp?page=1”即可繞過(guò)注冊界面，直接進(jìn)入系統。
在此，利用Session對象進(jìn)行注冊驗證：
<%
’讀取使用者所輸入的賬號和密碼
UserID = Request(“UserID”)
Password = Request(“Password”)
’檢查UserID 及Password 是否正確
If UserID <>“hrmis” Or Password <>“password” Then
Response.Write “賬號錯誤！”
Response.End
End If
’將Session 對象設置為通過(guò)驗證狀態(tài)
Session(“Passed”) = True
%>
進(jìn)入應用程序后，首先進(jìn)行驗證：
<%
’如果未通過(guò)驗證，返回Login狀態(tài)
If Not Session(“Passed”) Then
Response.Redirect “Login.asp”
End If
%>
通過(guò)對IIS+ASP+Access網(wǎng)上應用系統安全性的研究，我們對現有系統進(jìn)行了改造，收到了較好的效果。

本站僅提供存儲服務(wù)，所有內容均由用戶(hù)發(fā)布，如發(fā)現有害或侵權內容，請點(diǎn)擊舉報。

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久