ASP网站数据库安全漏洞及防护对策探究.doc

ASP网站数据库安全漏洞及防护对策探究.doc

ID:49201700

大小:67.50 KB

页数:5页

时间:2020-03-01

ASP网站数据库安全漏洞及防护对策探究.doc_第1页
ASP网站数据库安全漏洞及防护对策探究.doc_第2页
ASP网站数据库安全漏洞及防护对策探究.doc_第3页
ASP网站数据库安全漏洞及防护对策探究.doc_第4页
ASP网站数据库安全漏洞及防护对策探究.doc_第5页
资源描述:

《ASP网站数据库安全漏洞及防护对策探究.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、ASP网站数据库安全漏洞及防护对策探究摘要:目前,用于网页设计的开发工具很多,而ASP(ActiveServerPages)作为一种典型的服务器端网页设计技术,它将脚本、超文本和强大的数据库访问功能融合在一起,集简单性、高效性和易扩展性于一身。本案就以ASP+ACCESS为例,浅谈数据库漏洞和网络安全防御的解决对策。关键词:ASP网络安全防御对策一、引言随着网络技术和网络规模的不断发展以及电子教育类门户的兴起,许多大学院校都建立了自己的教育类门户网站,针对网络和计算机系统的攻击已经屡见不鲜,在构建网站的时候,都会考虑网络安全问题,对于网络安全的投入

2、较大,如使用防火墙、入侵检测、大学院校防病毒等安全产品,但网站还是有被攻击,甚至完全被控制的可能。ASP(ActiveServerPages)作为一种典型的服务器端网页设计技术,它将脚本、超文本和强大的数据库访问功能融合在一起,集简单性、高效性和易扩展性于一身。本案就以ASP+ACCESS为例,浅谈数据库漏洞和网络安全防御的解决对策。二、安全问题分析ASP+Access解决方案的主要安全隐患来自Access数据库的安全性和ASP网页设计过程中的安全漏洞。在ASP+Access网站中,如果获得或者猜到Access数据库的存储路径和数据库名,则该数据库

3、就可以被下载到本地。Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。设置密码后的数据库系统通过将用户输入的密码与某一固定密钥进行“异或”来形成一个加密串,并将其存储在*。mdb文件从地址“&H42”开始的区域内。由于异或操作的特点是“经过两次异或就恢复原值”,因此,用这一密钥与*。mdb文件中的加密串进行第二次异或操作,就可以轻而易举地得到数据库的密码。ASP程序采用的是非编译性语言即用明文方式来编写的,这大大降低了程序源代码的安全性。三、安全防范策略3.1非常规命名提高数据库的安全性,就要避免包含文件和Access数据库文件被

4、下载,并防止下载地址泄露,过滤变量输入中的非法字符和改造危险的SQL语句,对数据库内容和数据库联接字符串加密,将数据库连接文件放到其他虚拟目录下。如使用虚拟主机,Access数据库就命名为#文件名。asp,并且建一个临时表,表中有一字段OLE对象输入<%或%>等字符,IIS就会按ASP语法来解析,然后就会报告500错误ASP代码,让ASP不能被正确的解释。在数据库名前加上#这样,如碰到此类SQL查询语句^select*fromd:webdata#dataoaspoadmin",系统会提示出错,因为#在SQL语法中有表示日期的作用,语法出错也就

5、不会去执行查询条件了。如使用托管主机并且拥有主机权限,数据库应放到IIS以外的目录下。在IIS中,将数据库属性设置文件不可以读取。如Web目录在d:webWebsite目录下,那么就把数据库保存在d:webdata目录下。3.2使用ODBC数据源如果源代码失密后,数据库也将随ASP源代码的失密而一同失密。如果使用ODBC数据源,就能有效地解决这样的问题。所以,在ASP程序设计中,应尽量使用ODBC数据源,不要把数据库名直接写在程序中,例如:DBPath=ServeroMapPath("cmddb。mdb"),conn。Open"driver

6、={MicrosoftAccessDriver(*。mdb)};dbq="&DBPath,万一泄漏了源程序,那么Access数据库的名字就一览无余,因此要在ODBC中设置数据源,在程序中这样写:conn0operf'ODBC-DSNname"。3.3止ASP源代码的非法访问3.3.1对目录设置不同的属性为了有效地防止ASP源代码泄露,在设置Web站点时,将HTML文件同ASP文件分开放置在不同的目录下,然后将HTML子目录设置为“读(Read)”,将ASP子目录设置为"执行(Execute)”,这不仅方便了对Web的管理,而且最重要的是提高了ASP

7、程序的安全性,防止了程序内容被客户所访问。3.3.2对ASP页面进行加密为防止ASP源代码的非法访问,可以对ASP页面进行加密。一般有两种方法对ASP页面进行加密。一种是使用组件技术将编程逻辑封装入DLL之中;另一种是使用微软的ScriptEncoder对ASP页面进行加密。使用ScriptEncoders可以对当前目录中的所有的ASP文件进行加密,并把加密后的文件统一输出到相应的目录中。ScriptEncoder只加密在HTML页面中嵌入的ASP代码,其他部分仍保持不变,仍然可以使用常用网页编辑工具对HTML部分进行修改、完善,只是不能对ASP加

8、密部分进行修改,否则将导致文件失效。ScriptEncoder的运行程序是screncoexe,格式如下:serene[/

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。