梅彬

摘 要：Access+ASP搭建的動態(tài)網(wǎng)站被廣泛應(yīng)用于校園網(wǎng)、BBS等各種網(wǎng)絡(luò)活動中，它簡單方便的同時也帶來了一些列的安全問題。本文就Access+ASP網(wǎng)站存在的主要安全隱患及防范對策進(jìn)行了分析。

關(guān)鍵詞：asp；數(shù)據(jù)庫；安全防范；對策

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-2064（2017）07-0029-01

1 安全隱患分析

Access+ASP網(wǎng)站主要安全隱患一方面來自Access數(shù)據(jù)庫的安全性，一方面來自ASP網(wǎng)頁設(shè)計過程中的安全意識。

1.1 數(shù)據(jù)庫被下載

數(shù)據(jù)庫安全與否關(guān)系到網(wǎng)站的安全。ACCESS數(shù)據(jù)庫名字的后綴是（*.mdb），攻擊者可以通過多次路徑猜想獲取數(shù)據(jù)庫。數(shù)據(jù)庫中的關(guān)鍵信息特別是管理員用戶名和密碼，就完全暴露在攻擊者的面前，這時網(wǎng)站已經(jīng)無安全可言。解決這個問題的常規(guī)方法是先把數(shù)據(jù)庫文件名的后綴由“.mdb”改為“.asp，再修改連接文件中的鏈接地址，這樣即使別人猜到數(shù)據(jù)庫文件名及存儲位置，也不容易下載。原因是以“，mdb”結(jié)尾的文件內(nèi)容是直接輸出至瀏覽器頁面，而以“.asp”結(jié)尾的文件則要經(jīng)過處理，顯示在瀏覽器頁面上的內(nèi)容是處理后的結(jié)果。采取這種方法保護(hù)數(shù)據(jù)庫，攻擊者仍可借助一些網(wǎng)絡(luò)下載工具（flashget）順利下載。這說明單純修改數(shù)據(jù)庫文件名的后綴還是不能避免被下載。

1.2 數(shù)據(jù)庫被解密

網(wǎng)站將所使用的Access數(shù)據(jù)庫在存儲時采用了系統(tǒng)自帶的加密方法，由于系統(tǒng)自帶的加密方法是采用“異或”的方式來加密。這種加密方法簡單安全性低，網(wǎng)上隨便下載一個異或解密工具就可以輕松的獲得密碼字符串，這樣數(shù)據(jù)庫也會被完全解密。

1.3 ASP頁面存在的安全問題

（1）ASP源代碼不安全。由于ASP腳本程序是直接集成在HTML中，無需編譯直接被瀏覽器解釋和執(zhí)行，一般用戶能輕松獲得ASP源代碼；如果使用下載工具Teleport Ultra也能獲得源代碼，造成代碼泄露。

（2）腳本程序設(shè)計考慮欠缺帶來的安全隱患。網(wǎng)頁設(shè)計中，用戶和服務(wù)器的交流的主要工具是表單，用戶通過表單向服務(wù)器提交和接收數(shù)據(jù)，服務(wù)器要依靠我們設(shè)計的腳本程序來處理和收集數(shù)據(jù)，我們在腳本程序設(shè)計中稍有考慮不周全的地方就會出現(xiàn)很多意想不到的安全問題。

2 安全防范措施

2.1 防止數(shù)據(jù)庫被下載

Access簡單兼容性好是小型數(shù)據(jù)庫首先方案，安全方面只要做一些防范措施，還是可以確保網(wǎng)站的安全性。其中最重要的是防止數(shù)據(jù)庫被下載。以下三種方法簡單而有效。

（1）非常規(guī)取名，名字前加特殊符號。為Access數(shù)據(jù)庫文件起一個復(fù)雜的名字，名字前加一個“#”或者空格符號，并把它放在多級目錄下。非法下載時“#”前的會被識別，后的不被識別，空格被識別為“%”號。假設(shè)：http：//www.ynqj.net/rt/# 000.mdb；http：//www.ynqj.net/rt/%000.mdb存在，借助瀏覽器和工具下載時：前者下載的是網(wǎng)站首頁文檔，后者顯示下載路徑不存在。

（2）使用ODBC數(shù)據(jù)源。自己有服務(wù)器，可以使用ODBC數(shù)據(jù)源方法。只要注意在程序設(shè)計中不出現(xiàn)數(shù)據(jù)庫的名字，數(shù)據(jù)庫被下載的可能性就不存在，但是這種方法如果存儲目錄改變就要重新設(shè)置數(shù)據(jù)源比較麻煩。

（3）改變數(shù)據(jù)庫位置，設(shè)置文件的權(quán)限。把數(shù)據(jù)庫文件存放在網(wǎng)站主目錄外的文件里，合理設(shè)置該文件的權(quán)限，做數(shù)據(jù)庫名的MDB映射，修改連接，這樣就可以正常調(diào)用數(shù)據(jù)庫且不會被下載。

2.2 對數(shù)庫進(jìn)行md5加密并修改文件頭

網(wǎng)上破解軟件層出不窮，隨便下載一個就可輕松破解數(shù)據(jù)庫。筆者嘗試先對數(shù)據(jù)庫進(jìn)行md5加密，再修改數(shù)據(jù)庫的文件頭，因為文件頭的前16個字節(jié)保存了mdb文件的相關(guān)信息，一旦被修改，數(shù)據(jù)庫的相關(guān)信息就被隱藏，即是數(shù)據(jù)庫被下載了，破解的難度也很大。

2.3 對ASP頁面進(jìn)行加密

ASP頁面加密常用的技術(shù)有三種，組件加密技術(shù)、微軟的 Script Encoder技術(shù)、自編程序加密。組件加密技術(shù)不能反編譯最安全，難破解，但是工作量大，代碼較多的網(wǎng)站不易做到，因每段代碼都需組件化封裝； Script Encoder簡單易學(xué)、可批量加密，支持多種腳本服務(wù)器語言如：ASP、HTML、JS等，應(yīng)用范圍廣，但是存在加密后低版本瀏覽器可能會顯示不正常，易被破解；自編程序加密的基本思路是寫一個加密和一個解密函數(shù)，先對代碼進(jìn)行加密再在執(zhí)行過程中解密，這種加密方法因人而異，可隨時修改，發(fā)揮空間大，不容易被解密，但要求很高，一般人不容易實現(xiàn)。

網(wǎng)絡(luò)環(huán)境復(fù)雜，技術(shù)更新快，攻擊手段也是多種多樣，我們只有根據(jù)實際情況，選擇多種方法組合使用，網(wǎng)站信息才會更安全；同時要養(yǎng)成備份重要數(shù)據(jù)的習(xí)慣，隨時做好計算機各種資料數(shù)據(jù)的備份，這樣才能保證網(wǎng)站的安全性。

參考文獻(xiàn)

[1]喻華.ASP網(wǎng)站的安全問題及對策分析.計算機與網(wǎng)絡(luò)，2004.

[2]王宇虹.Access數(shù)據(jù)庫系統(tǒng)開發(fā)從基礎(chǔ)到實踐[M].2006-3-1.

[3]張弘.初探中國ASP[M].電子與電腦，2001.