2024年6月21日发(作者:)
维普资讯
2006年l2月 电 脑 学 习 第6期
李佳
摘要
季秀兰
分析了用ASP和Access数据库构造网站中的安全随患.并探讨了相应的解决方法。
ODBC数据源 安全随忠
文赦标识码
关键词 ASP Access
中圈分类号TP3o9.2
解决方案
B 文章编号:1002-2422(2006)06枷43—o2
The Hidden Security and Solution of ASP+Access Database
Li Jia
Abstract
ji Xjnll!!!
The paper analyzes the hidden security in the sites produced by ASP and Access,and gives 8ome solutions to the
problems.
Keyword ASP Access ODBC Data Source Hidden Security Solution
ASP+Access的架构已成为中小型网站的首选方案,但
这个方案在为我们带来便捷的同时,也带来严峻的安全问
题,那么,如何保护和利用ASP+Access架构开发的网站。
已成为当前网络应用需要解决的问题。
I ASP+Access的安全隐患分析
面时,必须避免该问题的发生。
2提高ASP+Access安全性的解决方案
2.I非常规命名法
防止数据库被找到的简便方法是为Access数据库文件
起一个复杂的非常规名字,并把它存放在深层目录下。
2.2使用ODBC数据源
1.1 Access数据库中的存储隐患
在ASP+Access应用系统中,如果获得或者猜到Access
数据库的存储路径和数据库名,则该数据库就可以被下载,
整个网站的数据被暴露。
即使数据库名字起得再怪异,隐藏的目录再深,ASP源
代码失密后,数据库也很容易被下载。如果使用ODBC数
据源,就不会存在这样的问题了。
1.2 Access数据库中的解密隐患
Access数据库的加密机制非常简单,即使数据库设了
密码,也存在被解密的危险。Access数据库通过将用户输入
的密码与某一固定密钥进行异或来形成一个加密串。并将
其存储在・.mdb文件从地址&H42开始的区域内。由于异
或操作的特点是经过两次异或就恢复原值,因此,用这一密
钥与・.mdb文件从地址&H42开始区域内的加密串进行第
2I3修改数据库扩展名
可以将数据库的扩展名改为.asp或.asa,这样数据库不
会被轻易的下载,而数据还可以正常的读出写入。
2.4设置文件不可以下载
在IIS数据库上右键属性,设置文件为不可以读取,可
以将数据库中的数据利用加密算法进行加密成密文的形
式,就算数据库被下载。打开后是无法识别的乱码,也就保
证了数据的安全。
2.5对ASP页面进行加密
二次异或操作,就可以轻松地得到任何Access数据库的密
码。基于这种原理,可以轻松地编制解密程序。这样,无论是
否设置了数据库密码,只要数据库被下载,其信息就会泄
露。
最简单的方法是使用微软的Script Encoder对ASP页
面进行加密。它有以下优点:
(1)Script Encoder只加密在HTML页面中嵌入的
1.3 ASP源代码的安全隐患
由于ASP程序采用的是非编译性语言,大大降低了程
序源代码的安全性。只要进入站点。就可以获得源代码。造
成泄露。
ASP代码。其他部分保持不变,仍可使用网页编辑工具对
HTML部分进行修改、完善,但不能对ASP加密部分进行
修改,否则会导致文件失效。
(2)操作简单。只要掌握几个命令行参数即可。Sc卜
ipt Encoder的运行程序是serene.exe,其使用方法如下:s—
erenc 】 】 defLanguage】 defExtension】input-
fde outputifle,其中的参数含义为:s:屏蔽屏幕输出:f:指定
1.4 ASP程序设计中的安全隐患
ASP代码利用表单实现与用户交互的功能,在不同的
ASP页面间传递变量的时候,相应的内容会反映在浏览器
的地址栏中,如果不采取一些措施,只要记下这些内容,就
可以绕过验证直接进入某一页,因此,在设计验证或注册页 输出文件是否覆盖同名输入文件;xl:是否在.asp文件的顶
收稿日期:2006-09—13 李佳江苏食品职业技术学院计算机应用技术系助教(淮安223002).研究方向:计算机网络
・
43・
维普资讯
2006耳12月 电 脑. 学 习 第6期
基于ASPaNET的安全登录系统的实现术
刘志成一 陈承欢
摘 要 介绍了ASP.NET安全体系结构.分析了ASP.NET应用程序中登录系统的验证流程和页面请求流程。给出了加密
模块的具体的实现方法。
关键词 ASP.NET 安全 蹙录
中图分类号TP31 1.52 文献标识码B文章编号:1002—2422(2006)06加044—02
The Implementation of Security Login System Based on ASP.NET
Liu Zhicheng Chen Chenghuan
A bstract Tile paper introduces the seeurtiy system framework of ASP.NET,and analyzes the Ver ing flow and page reques!
in the login system of the application based on ASP.NET.Meanwhile,the concrete method of encryption module is
provided.
Keyword ASP.NE1’ Security bogin
ASP.NET实现应『}j程序的安全性时提供了很多的控
户髓录系统蜜全性进行详细阐述。
制。ASP.NET安令性 Microsoft Intemet信息服务(IIS)
1用户登录模块的设计与实现
蜜会件 同.r作,包括身份验证和授权服务以实现ASP.
NET安伞模型 ASP.NET还包括一个基j 角色的安会功
1.1蟹录请求过程
能,_丁I以 Microsoft Windows和{}Windows川户帐户实
ASP.NET应『{』程序的川户 录模块充成的功能包括川
现该功能 ASP.NET立全体系结构如图1所示。
户身份的验证、相应权限的确立、及刚户信息的记录 具体
在』r发ASP.NET应川程序时,可以应Ytj ASP.NET系统
登录时的页面请求流程是:(1)GET defauh.aspx HTIPA.
提供的安全-策略结台J『j户自定义安全系统以构建一个安全
1,登隶form;(2)302重定向;(3)H哪P0sT default.
的应川系统,本文主要对通过加密和权限控制技术实现用
aspx ItTIPA.1<窗体数据包含身份验证凭据>;(4)应川程
序用户,验证;(5)200 OK设定Session.ASPXAUTH Auth
部添加@Language指令:l:defLanguag指定缺省的脚本语
Resin,irse.Redirect http.//WWW.jys.com/denglu.him
e:defExtension指定待加密文件的扩展名.
End If 如果末通过验证,返同登 状态
f3)W 网j 免费 找。
%>
2.6使J『J Sess 11对象进行注册验证
2.7其它解决方案
它的最人优点足IU。以把J}J户的信息保留F来,.止后续
(1)加强页面缓存管理;(2)刚ASP2DLL刈源代码
!j!=谊墩,避免.r在不 负面间传递信息的时候信息显
进行加密;(3)在数据库中添加错误的ASP代码;(4)使
0 lj生址 中 榭芙的代码如F:
用身份验 E机制保护被限制的ASP内容。
,
<%
3结束语
:j c f¨J=Requesl( Userl1)”)
‘ nj:Request ( P s, w‘m )
通过} 面的分析。得知在川ASP开发戍川程序时,要允
1 UserlD<>"hnnis Or Password<> password rhea
分考虑到系统的安会性。可以麻川以t:iJl:的儿种方法来不
Respun e.Wri[e 娥学锗漩
断的完善我们的系统,形成一个稳定的安全体系。
Rcsp.n ̄ .End
参考文献
End If
Sc i‘Ul( l 岫 d )=’true
[ilU; ̄N,于志良.ASP精解案例教栏【M].北京:消华大学
%>
出版朴,2004.
进入 Ⅲ枉序后。}1先进 验
f2J张红.网站建设[M】.北京:高等教育出版社,2004.
f:%
f31:E汉新,刘瑞林.数据库基础 Access 川教 fM].北
lf Not Sebaiur ̄("Pas, ̄at 、,l1hen
京:商等教育出版社,2003.
蓝盘琐f1:湖I{l』饮道职业挝术学院课题(K200503) 修改稿收到日期:2006--07—16
}十划 成湖m铁遴职业技 术学院信息] 粒系岛级工程师(株洲412001),从 数 库技术和软件工程的教学乖l研究
-44・
发布者:admin,转转请注明出处:http://www.yc00.com/web/1718918406a2753542.html
评论列表(0条)