谈ⅡS下基于ASP技术和Access数据库网站的安全性
浅谈ASP与Access的安全隐患及防范
浅谈ASP与Access的安全隐患及防范湖北省沙市中学康庄摘要:随着网络的发展,动态、交互的网络技术使用的越来越多,网络数据库应用越来越广泛。
ASP和ACCESS由于具有操作简单、界面友好等特点,成为许多中小型网上应用系统的首选方案。
它为我们带来便捷的同时,引发的数据安全问题也越来越严峻。
如何解决数据的安全隐患和防范数据被盗成为一个越来越严重的问题,本文给出本人的一点经验,希望能够给读者带来的思考。
关键词:网络,ASP,ACCESS,安全隐患和防范随着Internet的发展,Web技术日新月异,们已经不再满足于静态HTML技术,更多的是要求动态、交互的网络技术。
继通用网关接口(CGI)之后,微软推出的IIS+ASP(Active Server Pages)作为一种典型的服务器端网页设计技术,被广泛地应用在网上银行、电子商务、搜索引擎等各种互联网应用中。
同时Access数据库作为微软推出的以标准JET为引擎的桌面型数据库系统,由于具有操作简单、界面友好等特点,具有较大的用户群体。
因此ASP+Access成为许多中小型网上应用系统的首选方案。
但ASP+Access解决方案在为我们带来便捷的同时,也带来了不容忽视的安全问题。
(一)ASP与Access数据库安全隐患分析ASP+Access解决方案的主要安全隐患来自Access数据库的安全性,其次在于ASP 网页设计过程中的安全漏洞。
1、Access数据库的存储隐患,数据库可能被下载。
在ASP+Access应用系统中,如果获得或者猜到Access数据库的存储路径和数据库名,则该数据库就可以被下载到本地。
例如:对于网上书店的Access数据库,人们一般命名为book.mdb、store.mdb等,而存储的路径一般为“URL/database”或干脆放在根目录(“URL/”)下。
这样,只要在浏览器地址栏中敲入地址:“URL/database/store.mdb”,就可以轻易地把store.mdb下载到本地的机器中。
基于ASP网站的安全性研究与实现
上网环境,这是一项非常重要的工作。
1 ASP技术简介■1�1 ASP技术的定义ASP是ActiveServerPage的缩写,中文的意思是动态服务器页面。
ASP是微软公司推出的一种应用程序,它可以让数据库中的数据和其他程序中的数据进行交替呼唤,它是一种使用简单方便的编程软件。
因为ASP相对比较容易学习,身后又有微软公司作为强大的后盾,所以使用比较广泛,对比与其他的工具更容易发现其中的缺点和Bug。
■1�2 ASP技术的特点ASP是一种在服务器端编写程序的环境,能够用作创建和运行动态的网页或者是Web的应用程序。
ASP网页当中能够包含很多不同种类的组件。
运用ASP能够向网页当中加入交互内容,也可以用HTML来作为用户界面的程序。
和HTML对比,ASP具有下面的集中特点:(1)ASP程序可以在服务器中来执行,并且可以用HTML格式把用户需要的内容传输给用户,使他们能够看见,因此,用什么浏览器都能够正常的浏览使用ASP制作的网页。
(2)因为ASP程序可以在服务器中执行并且还能用HTML的格式传送到用户的浏览器上供用户观看,所以用户是不能够看到最原始的程序代码的,这样就能够有效的防止ASP程序的原始代码会被盗取的可能。
(3)方便连接ACCESS与SQL数据库。
2 常见ASP网站的安全缺陷■2�1 利用ASP网站管理漏洞下载MDB数据库ASP站点一般都是使用MDB的数据库来储存用户的各种信息,但是MDB这种文件能被直接来被下载,因此只要没有相应的安全意识,在得到网站的源代码之后就直接给安装上去,这样就会给黑客有了可乘之机。
(2)水平高超的网络管理员会知道怎样能够不让文件直接送到客户端上,因为他们知道ASP的文件只能够在服务器这边运行。
所以网络管理员能运用这个特点来做文章,他们会将带有MDB后缀的文件更改成ASP的后缀,以为这么做能控让用户无法下载这种文件,但是这个办法也有很明显的缺点,因为MDB这种文件并不是真正的源代码文件,所以他没有真正源文件的那些特征代码,所以服务器不会认为之前修改的MDB文件就是asp文件,使用者还是能够继续下载。
浅谈基于ASP与Access网站的安全隐患及对策
【 关键 词 】 :A S P ; A c c e s s ; 安 全 防 范
AS P + Ac c e s s是 建 设 中小 型 I n t e r n e t 网 站 的 主 样 . 网站 中的许 多重要 信 息会 被一览无 余 . 用 户通
服务 器页 面 ” 。 A S P是 微 软公 司开发 的代 替 C G I 脚 到 A c c e s s 数 据 库 的 密码 。基 于这 种原 理 。 可 以很 本程 序 的一种 应用 .它 可 以与数据 库 和其 它 程序 容 易地编 制 出解 密程 序 进 行 交互 , 是- - 一 种 简单 、 方 便 的编程 工具 。 2、 Ac c e s s数 据 库
3 、 AS P页 面 的 安 全 性
f l 油 于A S P程序 采用 非编译 性语 言 , 大 大 降 Mi c r o s o f t O mc e A c c e s s 是 微 软 把 数 据 库 引 擎 低 了程序 源代 码 的安 全性 任 何用 户只要 进人 站 的 图形 用 户界 面和 软件开 发工 具结 合 在一 起 的一 点 . 就可以获得 A S P源 代 码 : 同时 对 于租 用 服 务
2 0 1 3年第 2期
福 建 电 脑
9 7
浅谈基于 A S P与 A c c e s s 网站 的 安全 隐 患及 对 策
彭 昕 洋
(汕尾 市d _ r - 学校 广 东 汕尾 5 1 6 0 0 0)
【 摘 要 】 : 本 文从 A S P语 言的特 性和 A C C E S S 数 据库 本 身 的特 点 出发 , 分析了 A C C 们攻 击存 在 漏洞 的 A S P 网站 . 轻则 注人 木马影 响正 常用 户对 网站 的访 问 。 以即使数 据库设 置 了密码 . 解密也 很容易 。 当数据 重则 破坏 服务 器上 的数 据 。 针对这 种情 况 , 文章对 库 被下载后 .该 数据 库 系统通 过将 用户输 人 的密
关于ASP网站设计安全性探讨
关于ASP网站设计安全性探讨
ASP(Active Server Pages)是一种基于服务器端的脚本技术,具有动态生成网页内容的能力,广泛应用于网站开发领域。
在ASP
网站设计中,安全性是一个至关重要的问题,本文将探讨ASP网站
设计安全性的几个方面。
一、输入验证
ASP网站常常需要从用户输入中获取数据,而用户可能会故意
或者不故意地输入一些恶意的数据,从而对网站安全造成威胁。
所以,对于ASP网站的输入数据需要进行细致的验证。
输入验证的主
要目的是限制输入数据的类型、长度、格式等,以避免SQL注入、
跨站点脚本攻击等类型的安全漏洞。
ASP网站设计中,可以采用正
则表达式、黑白名单等方法对输入数据进行验证。
二、会话管理
ASP网站在处理用户会话的过程中,需要保证会话的安全。
为
了避免会话被劫持,需要采用一系列措施来保证会话的安全。
在
ASP网站设计中,必须要确保会话ID的值是随机的、强加密的,同
时还需要采用SSL协议等加密技术来保证所有客户端和服务器之间
的通信都是加密的。
此外,为了避免会话过期和超时问题,还应该
将会话时间限制在一个安全范围内。
三、密码安全
密码安全是ASP网站设计中的另一个重要问题。
ASP网站必须
要保证所有用户的密码都是安全的,未经授权的人无法获得或者解
1。
浅析基于ASP的网站安全问题
2 ASP脚本介绍
ASP(Active server pages)是一套微软 开发的服务器端运行的脚本平台,ASP内 含 于 I I S 当 中 。我 们 可 以 结 合 H T M L 、A S P 指 令 和 ActiveX 元 件 , 建 立 出 动 态 的 、交 互 的 和执行高效的Web服务器应用程序。
A S P 的 工 作 模 式 是 :A S P 脚 本 是 经 过 Web服务器解析之后,向浏览器返回数据。 所有的脚本都在服务器端执行,包括所有 嵌 在 普 通 H T M L 中 的 脚 本 程 序 。当 程 序 执 行完毕后,服务器仅将执行的结果返回给 客户浏览器,这样减轻了客户端浏览器的 负担,大大提高了交互的速度。
在设计网站时,如果不需要用户上传 程序, 则尽量给用户屏蔽上传文件功能。如 果确实需要用户上传程序,则需要对文件 上传文件进行审核,比如,禁止用户上传以 ASP为后缀的文件,禁止上传可执行文件 等等,将这方面的危险降到最低。 4 . 4 禁止用户多次尝试登录
现在有些自动登录程序,可以重复尝 试登录系统。这 时, 可以限制用户尝试登录 系统的次数,比如1小时内只能尝试登录10 次 等 等 。另 一 种 方 法 是 , 网 页 随 机 生 成 数 字,用户只有输入这些有效数字,才能有可 能登录系统,这阻断了一些自动登录程序 的干扰。 4 . 5 建立数据的备份
如今,网络日趋高度发展,其所带来的 便捷性和方便性,提高了人们的工作效率 和拓宽了人们的视野,人们生活中已经离 不 开 网 络 了 。看 到 网 络 高 度 发 展 和 繁 荣 后 面, 我们同时应该关注网络的安全问题。网 络安全隐患已经危险到了网民的个人隐 私 , 同 时 威 胁 到 了 一 个 网 站 的 发 展 。现 在 , 制作网站的网民越来越多,但多数都只注 重了网站功能的完善,很少注意和关心网 站 的 安 全 。下 面 , 笔 记 就 基 于 A S P 语 言 制 作 的网站安全问题进行探讨。
计算机专业论文-基于ASP动态网站设计安全性的讨论
基于ASP动态网站设计安全性的讨论摘要:本文主要结合 ASP 动态网站开发经验,对ASP 程序设计存在的信息安全隐患进行分析,讨论了ASP 程序常见的安全漏洞,从程序设计角度对 WEB信息安全及防范做了技术分析和研究。
关键词:安全漏洞黑客攻击 SQL注入木马后门系统分析网站维护网络安全引言:网络上的动态网站以ASP为多数,本人曾经为公司制作的网站也是ASP 的。
本人作为电子商务网站的制作和维护人员,与ASP攻击的各种现象斗争了多次,也对网站进行了一次次的修补,根据工作经验,就ASP网站设计常见安全漏洞及其防范进行一些探讨。
本文结合ASP动态网站开发经验,对ASP 程序设计存在的信息安全隐患进行分析,讨论了ASP 程序常见的安全漏洞,从程序设计角度对 WEB信息安全及防范做了技术分析和研究。
一.网络安全总体状况分析2008年上半年,只有半年时间,国家计算机网络应急技术处理协调中心接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和12.5%。
从国家计算机网络应急技术处理协调中心掌握的半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。
对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,也不排除放置恶意代码的可能。
对中小企业网站,尤其是以网络为核心业务的企业网站,采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索,影响企业正常业务的开展。
对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产。
二.用IIS+ASP建网站的安全性分析微软公司推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术,被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。
但是,该解决方案在为我们带来便捷的同时,也带来了严峻的安全问题。
本文从 ASP 程序设计角度对 WEB 信息安全及防范进行分析讨论。
基于IIS+ASP+Access网站的安全隐患及防范
(. 1 西北大学信息与科学学院。 陕西西安
洁
7 6 0) 2 00
7 0 6 ;. 10 1 商洛学 院计算机科学系,陕西商洛 2
摘 要: 怎样 防 黑 、 护 自己的成 果不被 别人 窃取 已经成 为站 点 建设 者 必须 考虑 的 首要 问 保
题 。通过 对 网站 的调 查及 开发 经验 , 以常见 的 网站 开发 组合 I + S + ces为例 , I A P A cs S 分析 了 网 站 建设 中的安 全 隐患 。根 据 理论 指 导与 分析 , 出了解决 安全 隐 患的具 体措 施 。 提
s r.d 等 , t e b 存储路径 一般为 UR Maa ae 或 o m I tb s
2 解 决 问题 的 方 法
21 防止 数 据库 被下 载 .
放 在 根 目录 ” L” , 样 , 何 人 敲 入 地 址 : UR /下 这 任
” R /a b s/ oem b ,数据 库就 可 以被 下载 U Ld t ae tr. d ” a s
就没 有任 何安全 性可 言 了 。
13 . AS P设计 中的安 全性
A P代码 利用 表 单 实现 与 用 户 交互 的功 能, S
而相应 的 内容会 反应 在 浏览 器 的地 址栏 中。 不 若
收 稿 日期 :0 8 0 - 8 20 - 7 0
作者简介 : 李彦广 (9 8 ) 男, 17 一 , 陕西镇安人, 西北大学信息科学与技术学 院硕士研 究生, 商洛学 院计算机科学系讲师
关键 词: 全 隐患; 据 库;I ; PA cs 安 数 I AS ;c es S
中图分类号:P 9. 文献标识码 : T33 8 0 A
ASP+Access安全性探讨
第 2 卷 第 3期 O
V0 .O 1 No3 2 .
池 州
Ju n l o r a
师 专 学
报
C l g ol e e
o Chzo T ah r f ih u ec es
2 0 年 6月 06 Jn, 0 a .0 6 2
cess
数据 库的存储路径 和数据库名 , 则该数据库就 可以被
种典型 的服务器端 网页设计技术 , 被广泛应 用在网上银 下载到本地 。 例如 : 对于 网上书店 的 A cs 数据库, ces 人们一
行、 电子商务 、 网上 调查 、 网上查询 、 B 、 B S 搜索 引擎 、 网上办 般命名为 b o . b s r.d 、a .d ok md 、t e b d tm b等 ,对于成 绩查询 o m a 人们 一般命名为 8O .d ,a .d , . b等。 C 1 m bd tm b cmd  ̄ a j 公等各种互联 网应用 中。与此 同时 , ces 据库 作为微 的数据库 , A cs 数 软推 出的以标准 J T为引擎 的桌 面型数 据库系统 , E 由于具 而存储 的路径一 般为 “ RJa bs” 干脆放 在根 目录 U I ta 或 da e (“ R ’) u 下。这样 , 只要在浏 览器地址栏 中输入地址 : “ R. a b s/ o . d ”,就 可 以轻 易地 把 s r. b下 U Idt ae t em b i a sr te o md
漏洞。
但正是 因为 A P S 程序采 用非编译性语言 , 这大大降低了程
收 稿 日期 : 06 0 - 0 2 0- 5 3
作 者简介 : 日 ( 97 ) 男。 薛 新 1 7一 。 湖南株 洲人 。 池州师范专科学校计算机 中心教师 。 主要研 究方向为计算机网络。
基于ASP技术的Access数据库安全隐患及其对策
( 绍兴文理学院 图书馆 , 浙江 绍兴 320 ) 1oo
摘
要: 针对当前广 疰使用的 A p和 A c 数据库相 结合 的技术 , 出了采 用此技术 的几个 常见 的安 全问题 , S c曲 提 并指 出需要
采 用的一些安全措施 关 建词: P A c轴; S A ; ce 数据库 ; 安全
维普资讯
第2 2卷 第 1 期 20 年 3 02 月
ห้องสมุดไป่ตู้
绍
兴
文
理
学
院
学
报
】 RN 0U 虬 OF S AO NG UN V STY H XI I ER l
V 2 2 No, 1 Ma.0 2 r2 0
基 于 A P技 术 的 A cs 数 据 库安 全 隐 患 及 其 对 策 S ces
2 A P和 A cs .S ces的安 全对 策
中 国分 类 号 : 39 2 2 0 Y 文献 标 识 码 : B 文章 编 号 : 0 —23 (02 0 —05 —0 1 8 9 X 20 )1 0 0 3 0
随着  ̄t e 的发展 , b 术 日新月 异 . e t m we 技 继通 用 网关 接 口( c ) c i 之后 , S ( cv e e ae) 为 一 A P A t eS r rPgs作 i v 种典 型的服务 器端 网页 设计技 术 , 广泛地应 用 在 网上 银行 、 被 电子 商务 、 搜索 引擎 等 各种互 联 网应用 中 . 同
性可 言了 . 1 3 源 代 码 的 安 全 隐 患 .
由于 A P程 序采 用的是 非编译 性语 言 , 大大 降低 了程 序源 代码 的安 全性 . S 这 任何 人 只要 进人 站 点 , 就
IIs 下的 ASP.NET+Access 技术建站安全性
要掌握太多 的专业知识就可 以对这些漏洞进行 击 者 攻 击 的机 会 。首 先要 加 强用 户 注 册 登 录 的 攻击 。对系统 的威胁也非常大 。代码注入攻击 安全 。一般 的程序设计会要求用户在注册 成功 【 关键 词】A S P . N E T数据库 安全技术
广泛用用在 网站建设中。因此基于 I I S的 AS R NE T + Ac c e s s 来 构 建 网 络 应 用 系 统 已 成 为 中 小
查询 。 表单身份验证登录页是常见的攻击对 象, 因为查询用户存储所使用 的是用户名和密码。 跨站 点脚本是 指将恶 意脚 本作为输入项发送到
系统 中用户使用 了弱密码等 。攻击者采用这些 所 以要执行服务器 端验 证,是为了弥补客户端
信息 以合法的用户身份登录系统。 验证机制脆弱 的安全性 。第四:限制用来执行 查询 的数据库 帐户权 限,不让 其执行一些特殊 的存储过程和访 问不该访 问的资源。对查询所 返 回的记录数量也作一些判 断,如程序 只要 求 返 回一个记录 , 但实际返回的记录却超过一行, 那就 当作 出错处理 。 以上 是 针对 I I s下 的 AS RNE T + Ac c e s s技 术 建站时容易出现的安全问题进行的分析,并 给 出了对 应 的解 决方 案。A c c e s s数据 库 的广 泛应用给 我们带来极大 的方便,它虽然存在~ 些 不 足,但是 只要 我们 在 实际应 用 中多考 虑 Ac c e s s 数 据库 的 安全 问题 ,风险 还是 可 以避 免的。同时知道系统的安全漏洞在什么地方 , 在开发系统时编写第一句代码就 考虑 安全性问 题 ,通 过采用 As p . Ne t 的先进 技术 ,即可 防止 漏洞 的出现 。相信对加 强网站 安全有很大的意
ASP+ACCESS网站安全问题浅谈
一、引言ASP 全名为M icro soft Activ e Serv er Pag es,是一套微软开发的服务器端脚本环境,通过ASP 我们可以结合HT M L 网页、ASP 指令和Activ eX 元件建立动态、交互且高效的WEB 服务器应用程序。
ACCES S 数据库是ASP 网站最常用的数据库,人们在广泛应用ASP+ACCES S 技术建立网站的同时,往往忽视ACCESS 数据库的安全问题。
二、ACCES S 数据库的安全问题AC CESS 数据库最大的安全隐患在于可以被别人下载,而现在提供的很多ASP 空间都是只支持ACC ESS 数据库,这样一来,ASP+ACC ESS 网站的安全问题就显得更为突出,ACCESS 数据库安全问题主要表现在一下几个方面。
1.AC CESS 数据库的存储隐患在ASP+ACCE SS 网站中,如果获得或者猜到ACCESS 数据库的存储路径和数据库名,则该数据库就可以被下载到本地。
2.Access 数据库的解密隐患由于Access 数据库的加密机制非常简单,所以即使数据库设置了密码,解密也很容易。
该数据库系统通过将用户输入的密码与某一固定密钥进行异或来形成一个加密串,并将其存储在*.mdb 文件中从地址“&H42”开始的区域内。
由于异或操作的特点是“经过两次异或就恢复原值”,因此,用这一密钥与*.mdb 文件中的加密串进行第二次异或操作,就可以轻松地得到ACCESS 数据库的密码。
基于这种原理,可以很容易地编制出解密程序。
由此可见,无论是否设置了数据库密码,只要数据库被下载,其信息就没有任何安全性可言了。
3.程序设计中的安全隐患ASP 代码利用表单(fo rm)实现与用户交互的功能,而相应的内容会反映在浏览器的地址栏中,如果不采用适当的安全措施,只要记下这些内容,就可以绕过验证直接进入某一页面。
例如在浏览器中敲入“……page.ASP?x=1”,即可不经过表单页面直接进入满足“x =1”条件的页面。
也谈提高ASP+Access网站数据库安全性对策
也谈提高ASP+Access网站数据库安全性对策摘要ASP+Access技术是小型Web站点开发的首选,但都存在一些安全隐患,本文就提高ASP+Access网站数据库安全性给出了对策。
关键词Access 数据库;安全隐患;对策0前言在众多的网站开发技术中,ASP作为一种基于Web的编程技术,具有开发周期短、数据库存取方便、执行效率高等优点,成为众多网站程序员的首选工具。
Access虽然具有数据库结构简单、功能齐全、使用维护方便等优点,但ASP 环境下的Access数据库数据极易被他人下载、篡改,故良好的网络数据库设计和防范措施将有效地消除Access数据库的安全隐患,提高其安全性。
1防范Access数据安全隐患之对策防止数据库文件被非法下载(1)非常规命名法:防止数据库被找到的最简便的方法是为Access数据库文件起一个复杂的非常规名字,并把它存放在多层目录下。
(2)使用ODBC数据:在ASP程序设计中, 应尽量使用ODBC数据源,不要把数据库名直接写在程序中,否则,数据库名将随ASP源代码的失密而一同失密。
例如:DBPath = Server.MapPath (“./akrej1it/kjh44w1/acd/a55vqx/fass9jzbal.mdb “)conn.Open “driver ={Microsoft Access Driver (*.mdb)};dbq=“&DBPath可见,即使数据库名字起得再怪异,隐藏的目录再深,ASP源代码失密后,数据库也很容易被下载。
如果使用ODBC数据源,即使失密,得到的也只是数据源的名字。
例如:conn.open“ODBC-DSN 名”。
(3)改数据库扩展名为inc:根据IIS 的特性,把后缀名改为“inc”,因为inc 文件在IIS上默认是不允许浏览的。
在IIS中把数据库所在的目录设为不可读,也可以防止被下载。
1.2 增强数据库文件的加密机制Access2000加密系统把加密的密码字串放在“&H42”开始的40个字节区域内,只要建一个与该数据库同日期的没有密码的Access2000数据库,找到密匙,那么还是可以得到数据库密码的,即使不使用日期信息,通过暴力破解也可以达到目的。
用ASP+Access构建网站的安全隐患及对策
( n h uH u i n ra & uaC n t ci o Qi o o s ga dUb n R rl o sr t nC mmi inQi h u 5 5 0 ,h a z n u o s o , n o 3 0 0C i ) s z n
s l a dme im h ief r h r g a a p idb mal n d u c o c o t ep o rm.p l e yma y s l a dme i n mal n du m
A c e sw e st. e p iai n a e o sue obea r se . c s b i W b a pl to sh veb c meis st dd e s d e c Ke ywo dsAS A c e sS c rt D aa s r : P; c s ;e u i y; tba e
由于 A c s 数 据库 加密 机制 过于 简单 , c es 有效地 防 止数据 库被 下载 , 成为 提 高 A PA c s 解 决 方案 安全性 的重 中之 重 。 就 S +c es 以下
两 种方 法 简单 、有 效 。 1 非 常规命 名法 . 为 Ac s c es数据库 文件 起 一个 复杂 的非 常规名 字 , 把它放 在 并 几 个 目录 下。例 如 ,对 于房产 网站 的数据 库 ,我们 不把它 命名 为 “ o s. d ”,而 是起个 非 常规 的名 字 ,例如 : lh 1m b hu emb y j. d ,再 把 它放 在如/ k t k 7 / k a k f k / j 8 a / k 9的几层 目录 下 , 这样 黑客 想通 过
5 50 3 00)
要 :随 着It t ne 的发展 ,We技 术 日新 月异 ,人们 已经 不再 满足 于静 态HT 技 术 ,更 多的是要 求动 态、交 互的 me b ML
IIs下的ASP.NET+Access技术建站安全性word精品文档5页
IIs下的ASP+Access技术建站安全性针对ASP网站开发中的常见问题,以及ACCESS数据库自身的安全性问题,提出了具体的解决方案。
能很好的指导如何在网站实际开发中避免这类问题的出现。
由于在服务器市场上Windows系列操作体统应用更为广泛,使得管理员们更多的是使用微软的Internet服务器软件iis来构架服务。
同时微软的另一个产品Access因它的高效、经济和实用性受到广大中小型企业以及个人用户的青睐。
而ASP作为一种典型的创建动态web内容的强大的服务器端技术而被广泛用用在网站建设中。
因此基于IIS的ASP+Access来构建网络应用系统已成为中小型网站的首选方案。
但是该方案在提供方便快捷的同时,日益突出的安全问题也受到用户的关注。
该方案的问题主要是Access数据库本身存在的安全性问题和用ASP所编写的源代码的安全漏洞。
1 网站安全分析1.1 Access数据库安全分析Access数据库系统通过将用户输入的密码与某一固定密钥进行异或操作来形成一个加密串,并将其存储在MDB文件中一段特定的地址区域内。
由于异或操作的特点是“经过两次异或就恢复原值”,因此,用这一密钥与*.mdb文件中的加密串进行第二次异或操作,就可以得到数据库的密码。
而这脆弱的加密机制使得数据库没有任何安全可言。
网站的重要信息都存储在数据库中,如果数据库(*.Mdb)的存储路径和文件名被非法用户通过各种方法猜到或得到,那么这个数据库就可能被非法用户下载。
所以access数据库的安全问题主要在其解密隐患和存储隐患上。
1.2 ASP技术安全分析大多数Web应用程序攻击都要在 HTTP 请求中传递恶意输入项。
一般这种攻击并非强迫应用程序执行未经授权的操作,而是要中断应用程序的正常操作。
Asp网站系统常见的威胁为代码注入。
所谓的代码注入是最常见的一种安全漏洞,也是最容易受到攻击的,因为攻击者不需要掌握太多的专业知识就可以对这些漏洞进行攻击。
Asp+access网站的安全问题及其防范
Asp+access网站的安全问题及其防范(新乡学院,河南新乡 453003)摘要:Internet的发展要求动态、交互的网络技术.ASP由于技术简单被广泛用在动态网站制作中.在对ASP+access网站常见的安全问题分析的基础上,详细说明了ASP+access网站安全问题的防范,并给出了防御方案.关键词: ASP技术 ACCESS 网站安全security problems and their prevention of asp+accessChen Xiaoqian(Xinxiang university,Xinxiang 453003,China) Abstract:The development of Internet requires dynamic and interactive network technologies. ASP technology has been widely used in the production of dynamic websites due to its technical simplicity. On the basis of analyzing common security problems of ASP+access websites, this paper makes a detailed description on ASP+access websites security problems and gives a defense program.Keywords: asp Technology ACCESS Site SecurityAsp是微软公司开发的代替CGI脚本程序的一种应用程序,它可以与数据库和其它程序进行交互,是一种简单、方便的编程工具.Access数据库作为微软推出的以标准JET 为引擎的桌面型数据库系统,由于具有操作简单、界面友好等特点,具有较大的用户群体[1].目前, ASP+Access是中小型Internet网站的首选方案.但是,该解决方案在为我们带来便捷的同时,也带来了严峻的安全问题.特别是近期随着微软一些安全漏洞的暴露,ASP与ACCESS数据库的不安全性,很多利用这些技术开发的网站与破解工具被黑客公布到网上,上网者可以很方便的下载它们,并利用他们攻击存在漏洞的ASP网站,轻则注入木马影响正常用户对网站的访问,重则破坏服务器上的数据.针对这种情况,文章对asp+access网站的一些安全问题进行了分析,并提出了应对这些安全问题的解决方法.1 asp+access网站的常见安全问题1.1 Access数据库的存储安全隐患在ASP+Access应用系统中,通过Access数据库的存储路径和数据库文件名称,则该数据库就可以被下载到本地.例如:对于新闻发布系统数据库,一般命名为news.mdb,存储路径一般为“网址/data”或放在根目录“URL/”下,这样,在浏览器中输入地址:“URL/data/news.mdb”,就可以下载数据库. 用户通过查询数据库中的数据表,就可以很轻易的获得网站的管理员用户名和密码,从而获得网站的后台管理后台权限并控制整个网站.1.2 Access数据库可能被解密由于Access数据库的加密机制非常简单,所以即使数据库设置了密码,解密也很容易.当数据库被下载后,该数据库系统通过将用户输入的密码与某一固定密钥进行异或来形成一个加密串,并将其存储在*.mdb文件中从地址“&H42”开始的区域内.由于异或操作的特点是“经过两次异或就恢复原值”,因此,用这一密钥与*.mdb文件中的加密串进行第二次异或操作,就可以轻松地得到Access数据库的密码.基于这种原理,可以很容易地编制出解密程序[2].1.3 ASP页面的安全性1.3.1源代码安全性隐患.由于ASP程序采用非编译性语言,大大降低了程序源代码的安全性.目前有很多整站下载的软件,很容易就能得到整站的源代码.1.3.2程序设计中容易被忽视的安全性问题.ASP代码主要使用表单实现交互,而相应的内容会反映在浏览器的地址栏中,如果不采用适当的安全措施,只要记下这些内容,就可以绕过验证直接进入某一页面.例如在浏览器中敲入“...onews.asp?s=1”,即可不经过表单页面直接进入满足“s=1”条件的页面.因此,在验证或注册页面中,必须采取特殊措施来避免此类问题的产生.1.4 SQL 注入攻击SQL 注入的原理,就是从客户端提交特殊的代码,从而收集程序及服务器的信息,获取想得到的资料,在采用 ASP+SQL 技术建设的网站中,由于 ASP 程序员在编写程序时不规范,代码存在漏洞,动态生成 Sql 命令时没有对用户输入的数据进行验证而受到攻击,黑客会利用特殊查询语句,得到更多的数据表数据,甚至数据表的全部数据,比如:查询语句是 select * from news where name='"&name&"'and pass='"&pwd&' ,那么,如果我的 username 是: " 张三"or'l'=l,查询语句将会变成: Select * from news where name='张三'or'l'='l'and pass="&pwd&" 这样可以不用密码就通过了你的验证.1.5 上传功能漏洞入侵者一般是通过asp程序的上传功能的漏洞进入后台上传ASP木马程序的.当木马一旦上传上去就有可能取得网站的管理权限,修改或删除文件、数据库,篡改网站的主页. 因此ASP木马的防范显得尤为重要. 因此要建议用户通过ftp来上传、维护网页,尽量不安装asp的上传程序.对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序. 上传文件时,要限制文件的扩展名. 比如:上传图片文件时,设置为只能上传扩展名.jpg或.gif的文件,拒绝上传扩展名为.asp或.exe的文件.坚持到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性. 经常查看在文件夹有没有不明的.asp或.exe文件,特别是放置上传文件的文件央内,数据库内有没有陌生的数据表,一旦发现被入侵,立即删除文件.2 防范asp+access网站安全问题的方法2.1 非常规命名法防止数据库被找到的简便方法是为Access数据库文件起一个复杂的非常规名字,并把它存放在多层目录下.例如,对于新闻发布系统的数据库文件,不要简单地命名为“news.mdb”,而是要起个非常规的名字,例如:a8q2g7j3wu.mdb,再把它放在如./klklie45/hgty456/sdfre 之类的深层目录下.这样,对于一些通过猜的方式得到Access数据库文件名的非法访问方法起到了有效的阻止作用.也可以将数据库的扩展名改为.asp,当然在写连接字符串的时候也要用类似database.asp的文件名,这样会被有效防止数据库被轻易下载,但是不会影响数据库的正常的读写操作.2.2使用ODBC数据源在ASP程序设计中,应尽量使用ODBC数据源,不要把数据库名直接写在程序中,否则,数据库名将随ASP源代码的失密而一同失密.例如:DBPath = Server.MapPath(“./klklie45/hgty456/sdfre / a8q2g7j3wu.asp ”) conn.Open “driver={Microsoft Access Driver (*.mdb)};dbq=”& DBPath可见,即使数据库名字起得再怪异,隐藏的目录再深,一旦ASP源代码被下载,数据库也很容易被下载下来.如果使用ODBC数据源,就不会存在这样的问题了:conn.open “ODBC-DSN名”对ASP页面进行加密为有效地防止ASP源代码泄露[3].2.3.对asp页面进行加密一般有两种方法对ASP页面进行加密.一种是使用组件技术将编程逻辑封装入DLL 之中;另一种是使用微软的Script Encoder对ASP页面进行加密.但是,使用组件技术存在的主要问题是每段代码均需组件化,操作比较烦琐,工作量较大;而使用Script Encoder对ASP页面进行加密,操作简单、收效良好.2.4.利用Session对象进行注册验证为防止未经注册的用户绕过注册界面直接进入应用系统,可以采用Session对象进行注册验证.Session对象最大的优点是可以把某用户的信息保留下来,让后续的网页读取[4].代码举例如下:if session("aleave")="" thenresponse.redirect "adminlogin.asp"response.endend if 如果未通过验证,则返回adminlogin.asp页面.2.5做好asp网站服务器的安全工作对asp页面打上SQL防注入补丁,对已经完成的asp代码要进行反复查看和测试,从网上下载的asp代码或者整站程序要仔细分析.有条件的用户应该安装asp防火墙,设置重要文件的权限.同时,应该经常查阅新技术,查看有关安全方面的资料,关注最新的漏洞和补丁,平时做好备份恢复工作,对数据库定期备份和更换密码,最好建立一套完整的灾难恢复方案,避免在事故发生后束手无策.3 结束语asp+access网站相对脆弱的安全性使其成为黑客攻击的目标,网站的建设和管理人员要有很强的安全意识,在实际操作中做到防患于未然,在程序设计和安全配置方面做好网站的安全工作,增强 web 服务器、数据库文件、 ASP 页面等的安全性,构建一个相对较为安全稳定的动态网站.参考文献[1] 孙悦.基于ASP_Access的建站方案安全性研究[M]. 阴山学刊,2009(23):37-38.[2] 黄萌,秦燕,唐文文. 基于ASP技术开发的网站安全问题[M]. 山东水利职业学院院刊,2006(2):16-17.[3] 范景行.维护ASP应用程序的安全[M].计算机安全,2009(2):113-114.[4] 阮国忠.基于ASP网站数据库的安全漏洞及防护对策研究[M].福建电脑,2009(2):56-57.。
ASP+Access电子商务网站安全保障思索
ASP+Access电子商务网站安全保障思索ASP+Access电子商务网站安全保障思索随着电子商务的蓬勃发展,电子商务购物网站的设计具有非常重要的意义。
ASP(ActiveServerPages)由于编写简单、维护方便、功能丰富等特点获得了广泛的应用,是电子商务网站建设中的常见工具。
与此同时,由于Access数据库具有操作简单、功能齐全、用户界面友好、使用维护方便等优点而拥有较大的用户群体。
目前,ASP+Access是中小型电子商务网站的首选方案。
但是,该解决方案在带给我们便捷的同时,也带来了严峻的安全问题。
本文主要从ASP和Access两方面讨论了电子商务建设中存在的几种常见的安全性问题及其解决方法。
1电子商务网站的安全分析电子商务网站受到攻击后产生的危害主要体现在修改网页内容、窃取商业数据和个人账户资料、恶意破坏网站以及窃取程序文件等。
基于ASP技术和Access数据库建设的电子商务网站,主要的安全隐患一方面来自Access数据库的安全性,另一方面来自ASP源文件和ASP网页设计过程中的安全意识。
1.1Access数据库的存储隐患采用Access数据库建设的电子商务网站中,如果有人获得或猜到了数据库的存储路径和数据名,那么该数据库就可以被下载到本地。
例如,某电子商务网站的URL (UniformResourceLocator)是,而网站使用的数据库ec.mdb就放在根目录/下。
那么只要在在浏览器地址栏中输入地址:1.2Access数据库的解密隐患由于Access数据库的加密机制比较简单,即使设置了密码,也很容易解密。
该数据库系统通过将用户输入的密码与某一固定的密钥进行异或来形成一个加密串,并将其存储在*.mdb文件从地址“&H24”开始的区域中。
根据异或操作的特点,可以很轻易的编制出解密程序。
所以,无论数据库是否设置密码,只要数据库被下载,其信息就没有任何安全性可言了。
1.3ASP源文件的安全隐患由于ASP程序是非编译性语言,采用ASP技术编写的脚本程序使用明文(plaintext)编写,一旦ASP应用程序发布到网络环境中,源代码就很容易泄漏,大大降低了源程序代码的安全性。
IIs 下的 ASP.NET+Access 技术建站安全性
IIs 下的 +Access 技术建站安全性
李程
【期刊名称】《电子技术与软件工程》
【年(卷),期】2015(000)010
【摘要】针对 网站开发中的常见问题,以及 ACCESS 数据库自身的安全性问题,提出了具体的解决方案。
能很好的指导如何在网站实际开发中避免这类问题的出现。
【总页数】1页(P212-212)
【作者】李程
【作者单位】大连财经学院,辽宁省大连市116622
【正文语种】中文
【中图分类】TP393.08
【相关文献】
+Access技术建站安全性初探 [J], 马晓荣;孙悦;肖宁
2.IIS6平台下FTP服务器的安全性问题的研究及防护措施 [J], 安晓瑞
3.IIS下Access数据库的安全性分析与策略 [J], 邵纯;黄上腾
4.云环境下建站技术的研究与比较 [J], 刘薇;范冰冰
+SQLSERVER技术建站安全性浅谈 [J], 肖宁;马晓荣
因版权原因,仅展示原文概要,查看原文内容请购买。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
21 0 0年 5月
山西广播 电视大学学报
J u lo h n i d o& T U ie s o ma fS a x Ra i V n v ri
No 3 . Ma . 201 v 0
摘要 :在 I I S下基于 A P技术和 A cs 数据库 网站 的建设 中,会遇到很 多安全 问题 ,文章 中详细 S ces
采用 I 、 S 技术和 Acs I AP S c s数据库搭建服务器设计简 e 单方便,且易于管理, 从而被广泛采用。但 I 下使用 AP I S S 技术和Acs c s数据库搭建的服务器在为我们带来方便的同 e 时也带来了不容忽视的安全问题, 如页面被篡改,数据库被 下载等。针对这些情况, 本文就目 前常见的安全性问题进行 了简单的分析, 并根据自己平时工作和学习经验提出了相应 的防范措施。 Acs数据库的安全隐患及防范措施 ce s
3 ・ 4
2 1 5月 00年
陈 瑞 :谈 I I s下基于 A P技术和 A cs数据库网站 的安全性 S ces
,
收 稿 日期 :2 1—O —2 0O 1 0
作者简介 :陈
瑞 (9 1 ) 18一 ,男,山西朔州人 ,太原理工大学计算
机 与 软件 学 院 ,在 读研 究 生 , 山西广 播 电视 大 首先打开经过加密的数据 库, 注意要选择 “ 占方式”打开,然后选择 “ 独 工具”一 “ 安全”一 “ 设置数据库密码” 输入密码即可。 , ()使用 O B 4 D C连接数据库。应尽量使用 O B D C数据 源, 不要把数据库名写在程序中,否则入侵者看到 A P源 S 代码也就看到了数据库名以及存放路径。操作也比较简单 , 只需新建一段连接数据库代码文件, 将其命名为 cr.a 。 om s p 这样只要在需要调用数据库的 A P S 文件中加入 < !一一 i #. n c d l= “on s” 一一> l e e cn.a u f i p 就可以实现数据库的调用。 这样就隐藏了调用语段,解决了 AP源代码暴露后网站数 S 据库名和存放路径暴露的问题。 ()添加数据库名的扩展映射。通过修改 I 设置来实 5 I S 现,选择 I 属性一主 目 I S 录一配置一映射一应用程序扩展那 里添加.mb d 文件的应用解析,修改后下载数据库就会出现 44 0 等错误。这样即使入侵者掌握数据库名和存放路 0 或50 径也无法下载。 二、 S 的安全隐患及防范措施 AP 源程序代码的安全隐患及防范措施。由于 AP不是把 S 源程序编译成目 标机器代码来执行,而是源程序直接执行 , 这样程序源代码的安全性将大大降低, 任何人只要访问站点 就有可能获取源代码。 对AP页面进行加密可以有效地防止 AP S S 源代码泄露。 有两种方法: 一种是使用组件技术将程序代码封装入 D L L 中; 另一种是使用微软的 Si noe对 AP页面进行加 cp Ecdr S rt 密。 使用组件技术需对每段代码组件化,操作烦琐, 工作量 较大,而使用 Srtnoe对 AP页面进行加密操作简单 , cpEc r S i d 掌握一些基本的命令即可,而且可以批量处理 AP页面, s 还可以 加密在H M 页面中 只 TL 嵌入的AP S 代码, 其他部分 保持不变, 这样可以使用网页编辑工具对 H M 部分进行修 TL 改, 所以建议读者使用 Srt noe对 AP c i cdr S 页面进行加密。 pE Fesmbc 即 FO ist oe lye jt( S )组件的威胁。通过 FO组件 S 可以对AP S 文件进行包括文本文件的创建、修改、删除、查 询、复制等操作,人侵者就是利用 FO的这些功能特点篡 S 改和下载F T分区上的任何文件,即使是 N F 分区如果分 A TS
一
、
1 ce 数据库的安全问题 .Acs s
在基于 AP S 技术和 Acs数据库应用系统中,如果入 c s e 侵者获得数据库的存储路径和数据库名, 则该数据库很容易 被下载下来。如果数据库没加密或被破解,则数据库中所有 信息即被盗用。
2 .一些常见的 Ac s ce 数据库安全 防范 s 措施
()改变数据库文件的名称及扩展名。将数据库文件 1 起个复杂的且无规则 的名字,还可以在数据库名称前加 “ ” 防止人侵者猜到。将数据库默认的扩展名 m b # d 修改为 a 或者a 等不影响查询的名字,这样可以避免使用 I s p s a E浏 览器下载。 ()改变数据库文件存放的路径。一般不要将数据库 2 放在 W b目录下,因为一些根 目录下的文件可以下载。数 e 据库文件应该放在多级目录下,这样就增加了安全眭。 ()给数据库文件加密码。用户可以用为 Acs数据 3 c s e 库设置密码的方法保护数据,这样即使入侵者得到了数据 库, 也无法查看数据库中的内容。为了防止入侵者使用别的 工具查看数据库文件的内容,首先应对数据库文件添加密 码, 具体操作步骤 : Acs编辑窗口 ( 在 ce s 未打开任何数据 库文件) 选择 “ , 工具”菜单, 单击 “ 安全” ,选择 “ 加密/ 解密数据库” ,在 “ 加密/ 解密数据库”窗 口中选取需要加 密的数据库, 接着会出现 “ 数据库加密后另存为”的窗口,
阐述 了 A P技 术 、A cs 数 据 库 和 I S ces I S的安 全 漏 洞 ,并 给 出 了相 应 的解 决 方 法 和 建议 。
关 键 词 :A P S ;A cs;I ;安 全 漏 洞 ces I S
中 图分 类 号 :G 2 文 献标 识 码 :B 文 章 编 号 :10 -8 5 ( 00 3 o 3— 0 78 0 8 3 0 2 1 )0 — o 4 2