随着Internet
![](/icons/47212de.gif)
发展
![](/icons/47212dou.gif)
Web技术日新月异
![](/icons/47212dou2.gif)
继通用网关接口(CGI)的后
![](/icons/47212dou.gif)
“ASP”(Active Server Pages)作为
![](/icons/47212yi.gif)
种典型
![](/icons/47212de.gif)
服务器端网页设计技术
![](/icons/47212dou.gif)
被广泛地应用在网上银行、电子商务、搜索引擎等各种互联网应用中
![](/icons/47212dou2.gif)
同时Access数据库作为微软推出
![](/icons/47212de.gif)
以标准JET为引擎
![](/icons/47212de.gif)
桌面型数据库系统
![](/icons/47212dou.gif)
由于具有操作简单、界面友好等特点
![](/icons/47212dou.gif)
具有较大
![](/icons/47212de.gif)
用户群体
![](/icons/47212dou2.gif)
因此ASP+Access成为许多中小型网上应用系统
![](/icons/47212de.gif)
首选方案
![](/icons/47212dou2.gif)
但ASP+Access解决方案在为我们带来便捷
![](/icons/47212de.gif)
同时
![](/icons/47212dou.gif)
也带来了不容忽视
![](/icons/47212de.gif)
安全问题
ASP+Access
![](/icons/47212de.gif)
安全隐患
ASP+Access解决方案
![](/icons/47212de.gif)
主要安全隐患来自Access数据库
![](/icons/47212de.gif)
安全性
![](/icons/47212dou.gif)
其次在于ASP网页设计过程中
![](/icons/47212de.gif)
安全漏洞
1.Access数据库
![](/icons/47212de.gif)
存储隐患
在ASP+Access应用系统中
![](/icons/47212dou.gif)
如果获得或者猜到Access数据库
![](/icons/47212de.gif)
存储路径和数据库名
![](/icons/47212dou.gif)
则该数据库就可以被下载到本地
![](/icons/47212dou2.gif)
例如:对于网上书店
![](/icons/47212de.gif)
Access数据库
![](/icons/47212dou.gif)
人们
![](/icons/47212yi.gif)
般命名为book.mdb、store.mdb等
![](/icons/47212dou.gif)
而存储
![](/icons/47212de.gif)
路径
![](/icons/47212yi.gif)
般为“URL/database”或干脆放在根目录(“URL/”)下
![](/icons/47212dou2.gif)
这样
![](/icons/47212dou.gif)
只要在浏览器地址栏中敲入地址:“URL/database/store.mdb”
![](/icons/47212dou.gif)
就可以轻易地把store.mdb下载到本地
![](/icons/47212de.gif)
机器中
2.Access数据库
![](/icons/47212de.gif)
解密隐患
由于Access数据库
![](/icons/47212de.gif)
加密机制非常简单
![](/icons/47212dou.gif)
所以即使数据库设置了密码
![](/icons/47212dou.gif)
解密也很容易
![](/icons/47212dou2.gif)
该数据库系统通过将用户输入
![](/icons/47212de.gif)
密码和某
![](/icons/47212yi.gif)
固定密钥进行异或来形成
![](/icons/47212yi.gif)
个加密串
![](/icons/47212dou.gif)
并将其存储在*.mdb文件中从地址“&H42”开始
![](/icons/47212de.gif)
区域内
![](/icons/47212dou2.gif)
由于异或操作
![](/icons/47212de.gif)
特点是“经过两次异或就恢复原值”
![](/icons/47212dou.gif)
因此
![](/icons/47212dou.gif)
用这
![](/icons/47212yi.gif)
密钥和*.mdb文件中
![](/icons/47212de.gif)
加密串进行第 2次异或操作
![](/icons/47212dou.gif)
就可以轻松地得到Access数据库
![](/icons/47212de.gif)
密码
![](/icons/47212dou2.gif)
基于这种原理
![](/icons/47212dou.gif)
可以很容易地编制出解密
![](/icons/47212chengxu.gif)
由此可见
![](/icons/47212dou.gif)
无论是否设置了数据库密码
![](/icons/47212dou.gif)
只要数据库被下载
![](/icons/47212dou.gif)
其信息就没有任何安全性可言了
3.源代码
![](/icons/47212de.gif)
安全隐患
由于ASP
![](/icons/47212chengxu.gif)
采用
![](/icons/47212de.gif)
是非编译性语言
![](/icons/47212dou.gif)
这大大降低了
![](/icons/47212chengxu.gif)
源代码
![](/icons/47212de.gif)
安全性
![](/icons/47212dou2.gif)
任何人只要进入站点
![](/icons/47212dou.gif)
就可以获得源代码
![](/icons/47212dou.gif)
从而造成ASP应用
![](/icons/47212chengxu.gif)
源代码
![](/icons/47212de.gif)
泄露
4.
![](/icons/47212chengxu.gif)
设计中
![](/icons/47212de.gif)
安全隐患
ASP代码利用表单(form)实现和用户交互
![](/icons/47212de.gif)
功能
![](/icons/47212dou.gif)
而相应
![](/icons/47212de.gif)
内容会反映在浏览器
![](/icons/47212de.gif)
地址栏中
![](/icons/47212dou.gif)
如果不采用适当
![](/icons/47212de.gif)
安全措施
![](/icons/47212dou.gif)
只要记下这些内容
![](/icons/47212dou.gif)
就可以绕过验证直接进入某
![](/icons/47212yi.gif)
页面
![](/icons/47212dou2.gif)
例如在浏览器中敲入“……page.asp?x=1”
![](/icons/47212dou.gif)
即可不经过表单页面直接进入满足“x=1”条件
![](/icons/47212de.gif)
页面
![](/icons/47212dou2.gif)
因此
![](/icons/47212dou.gif)
在设计验证或注册页面时
![](/icons/47212dou.gif)
必须采取特殊措施来避免此类问题
![](/icons/47212de.gif)
发生
提高数据库
![](/icons/47212de.gif)
安全性
由于Access数据库加密机制过于简单
![](/icons/47212dou.gif)
因此
![](/icons/47212dou.gif)
如何有效地防止Access数据库被下载,就成了提高ASP+Access解决方案安全性
![](/icons/47212de.gif)
重中的重
1.非常规命名法
防止数据库被找到
![](/icons/47212de.gif)
简便思路方法是为Access数据库文件起
![](/icons/47212yi.gif)
个复杂
![](/icons/47212de.gif)
非常规名字
![](/icons/47212dou.gif)
并把它存放在多层目录下
![](/icons/47212dou2.gif)
例如
![](/icons/47212dou.gif)
对于网上书店
![](/icons/47212de.gif)
数据库文件
![](/icons/47212dou.gif)
不要简单地命名为“book.mdb”或“store.mdb”
![](/icons/47212dou.gif)
而是要起个非常规
![](/icons/47212de.gif)
名字
![](/icons/47212dou.gif)
例如:faq19jhsvzbal.mdb
![](/icons/47212dou.gif)
再把它放在如./akkjj16t/kjhgb661/acd/avccx55 的类
![](/icons/47212de.gif)
深层目录下
![](/icons/47212dou2.gif)
这样
![](/icons/47212dou.gif)
对于
![](/icons/47212yi.gif)
些通过猜
![](/icons/47212de.gif)
方式得到Access数据库文件名
![](/icons/47212de.gif)
非法访问思路方法起到了有效
![](/icons/47212de.gif)
阻止作用
2.使用ODBC数据源
在ASP
![](/icons/47212chengxu.gif)
设计中
![](/icons/47212dou.gif)
应尽量使用ODBC数据源
![](/icons/47212dou.gif)
不要把数据库名直接写在
![](/icons/47212chengxu.gif)
中
![](/icons/47212dou.gif)
否则
![](/icons/47212dou.gif)
数据库名将随ASP源代码
![](/icons/47212de.gif)
失密而
![](/icons/47212yi.gif)
同失密
![](/icons/47212dou2.gif)
例如:
DBPath = Server.MapPath(“./akkjj16t/
kjhgb661/acd/avccx55/faq19jhsvzbal.mdb ”)
conn.Open “driver={Microsoft Access Driver (*.mdb)};dbq=” & DBPath
可见
![](/icons/47212dou.gif)
即使数据库名字起得再怪异
![](/icons/47212dou.gif)
隐藏
![](/icons/47212de.gif)
目录再深
![](/icons/47212dou.gif)
ASP源代码失密后
![](/icons/47212dou.gif)
数据库也很容易被下载下来
![](/icons/47212dou2.gif)
如果使用ODBC数据源
![](/icons/47212dou.gif)
就不会存在这样
![](/icons/47212de.gif)
问题了:
conn.open “ODBC-DSN名”
对ASP页面进行加密
为有效地防止ASP源代码泄露
![](/icons/47212dou.gif)
可以对ASP页面进行加密
![](/icons/47212dou2.gif)
![](/icons/47212yi.gif)
般有两种思路方法对ASP页面进行加密
![](/icons/47212dou2.gif)
![](/icons/47212yi.gif)
种是使用组件技术将编程逻辑封装入DLL的中;另
![](/icons/47212yi.gif)
种是使用微软
![](/icons/47212de.gif)
Script Encoder对ASP页面进行加密
![](/icons/47212dou2.gif)
笔者认为
![](/icons/47212dou.gif)
使用组件技术存在
![](/icons/47212de.gif)
主要问题是每段代码均需组件化
![](/icons/47212dou.gif)
操作比较烦琐
![](/icons/47212dou.gif)
工作量较大;而使用Script Encoder对ASP页面进行加密
![](/icons/47212dou.gif)
操作简单、收效良好
![](/icons/47212dou2.gif)
Script Encoder思路方法具有许多优点:
1.HTML仍具有很好
![](/icons/47212de.gif)
可编辑性
![](/icons/47212dou2.gif)
Script Encoder只加密在HTML页面中嵌入
![](/icons/47212de.gif)
ASP代码
![](/icons/47212dou.gif)
其他部分仍保持不变
![](/icons/47212dou.gif)
这就使得我们仍然可以使用FrontPage或Dreamweaver等常用网页编辑工具对HTML部分进行修改、完善
![](/icons/47212dou.gif)
只是不能对ASP加密部分进行修改
![](/icons/47212dou.gif)
否则将导致文件失效
2.操作简单
![](/icons/47212dou2.gif)
只要掌握几个命令行参数即可
![](/icons/47212dou2.gif)
Script Encoder
![](/icons/47212de.gif)
运行
![](/icons/47212chengxu.gif)
是screnc.exe
![](/icons/47212dou.gif)
其使用思路方法如下:
screnc [/s] [/f] [/xl] [/l defLanguage ] [/e defExtension] inputfile outputfile
其中
![](/icons/47212de.gif)
参数含义如下:
s:屏蔽屏幕输出;
f:指定输出文件是否覆盖同名输入文件;
xl:是否在.asp文件
![](/icons/47212de.gif)
顶部添加@Language指令;
l:defLanguag指定缺省
![](/icons/47212de.gif)
脚本语言;
e:defExtension 指定待加密文件
![](/icons/47212de.gif)
扩展名
3.可以批量加密文件
![](/icons/47212dou2.gif)
使用Script Encoder可以对当前目录中
![](/icons/47212de.gif)
所有
![](/icons/47212de.gif)
ASP 文件进行加密
![](/icons/47212dou.gif)
并把加密后
![](/icons/47212de.gif)
文件统
![](/icons/47212yi.gif)
输出到相应
![](/icons/47212de.gif)
目录中
![](/icons/47212dou2.gif)
例如:
screnc *.asp c:\\temp
4. Script Encoder是免费软件Software
![](/icons/47212dou2.gif)
该加密软件Software可以从微软网站WebSite下载:http://msdn.microsoft.com/scripting/vbscript/download/x86/sce10en.exe
![](/icons/47212dou2.gif)
下载后
![](/icons/47212dou.gif)
运行安装即可
利用Session对象进行注册验证
为防止未经注册
![](/icons/47212de.gif)
用户绕过注册界面直接进入应用系统
![](/icons/47212dou.gif)
可以采用Session对象进行注册验证
![](/icons/47212dou2.gif)
Session对象最大
![](/icons/47212de.gif)
优点是可以把某用户
![](/icons/47212de.gif)
信息保留下来
![](/icons/47212dou.gif)
让后续
![](/icons/47212de.gif)
网页读取
![](/icons/47212dou2.gif)
例如
![](/icons/47212dou.gif)
要设计如图1所示
![](/icons/47212de.gif)
注册页面
图1 注册页面
设计要求用户注册成功后系统启动hrmis.asp?page=1页面
![](/icons/47212dou2.gif)
如果不采用Session对象进行注册验证
![](/icons/47212dou.gif)
则用户在浏览器中敲入“URL/hrmis.asp?page=1”即可绕过注册界面
![](/icons/47212dou.gif)
直接进入系统
![](/icons/47212dou2.gif)
利用Session对象可以有效阻止这
![](/icons/47212yi.gif)
情况
![](/icons/47212de.gif)
发生
![](/icons/47212dou2.gif)
相关
![](/icons/47212de.gif)
![](/icons/47212chengxu.gif)
代码如下:
<%
@# 读取用户输入
![](/icons/47212de.gif)
账号和密码
UserID = Request(“UserID”)
Password = Request(“Password”)
@# 检查UserID 及Password 是否正确(实际
![](/icons/47212chengxu.gif)
可能会比较复杂)
If UserID <>“hrmis” Or Password <>
“password” Then
Response.Write “账号
![](/icons/47212cuowu.gif)
!”
Response.End
End If
@#将Session 对象设置为通过验证状态
Session(“Passed”) = True
%>
进入应用
![](/icons/47212chengxu.gif)
后
![](/icons/47212dou.gif)
首先进行验证:
<%
@#如果未通过验证
![](/icons/47212dou.gif)
返回Login状态
If Not Session(“Passed”) Then
Response.Redirect “Login.asp”
End If
%>