Windows system >> Windowsの知識 >  >> コンピュータソフトウェアのチュートリアル >> サーバー技術 >> サーバーについて >> 日に日にインターネット、Web技術の発展に伴い

日に日にインターネット、Web技術の発展に伴い

  

のIIS + ASP工事現場の安全解析では、人々はよりダイナミックでインタラクティブなネットワーク技術を必要とされ、もはや静的なHTMLの技術に満足していません。 Common Gateway Interface(CGI)に続いて、Microsoftは、一般的なサーバー・サイドのWebデザイン技術としてIIS + ASPソリューションを導入し、広くオンラインバンキング、電子商取引、オンライン調査、オンラインのお問い合わせ、BBS、検索エンジンなどで使用されていますさまざまなインターネットアプリケーション同時に、Accessデータベースは、標準のJETをエンジンとしてMicrosoftが立ち上げたデスクトップデータベースシステムとして、そのシンプルな機能と使いやすいインターフェースのために、大きなユーザーグループを持っています。現在、IIS + ASP +アクセスは、中小規模のインターネットサイトに適したソリューションです。しかしながら、この解決策は私たちに便利さと深刻なセキュリティ問題をもたらします。

I.セキュリティリスクの分析

IIS + ASP + Accessソリューションの主なセキュリティリスクは、Accessデータベースのセキュリティ、次にASPのWebデザインプロセスにおけるセキュリティの認識と対策にあります。 1。データベースがダウンロードされる可能性がある。IIS + ASP + Access Webサイトでは、誰かがさまざまな方法でデータベースの格納パスとファイル名を取得または推測した場合、そのデータベースをローカルにダウンロードすることができます。たとえば:誰でもアドレスを入力するように一般的にbook.mdbという名前の、オンライン書店のデータベースの場合は、下の他のストレージ・パスは、通常は「URL /データベース」であるか、ルートディレクトリに「/URL」をstore.mdb:「URL /Database /store.mdb "、データベースをダウンロードすることができます。 2。データベースが復号化されている可能性があるAccessデータベースの暗号化メカニズムは比較的単純であるため、パスワードが設定されていても、復号化は簡単です。データベースシステムは、ユーザによって入力されたパスワードを固定キー(例えば、アクセス97は86 FB EC 37 5D 44 9C FA C6 5E 28 E6 13)で記憶することによって暗号化文字列を形成し、それを記憶する。 * .mdbファイルがアドレス "&H42"から始まる領域私たちは簡単に復号化プログラムをプログラムすることができます、そして小さなプログラムのダースプログラムは簡単にあらゆるAccessデータベースのパスワードを取得することができます。したがって、データベースがダウンロードされる限り、その情報に対するセキュリティはありません。 3。 ASPページのセキュリティ(1)ソースコードのセキュリティ上のリスク。 ASPプログラムはコンパイルされていない言語を使用するため、プログラムのソースコードのセキュリティは大幅に低下します。サイト、あなたKeyihuode ASPのソースコードをハッキングした場合、ユーザーがサーバーを借りため、同時に、個々のサーバーのレンタル事業の倫理的な問題から、ASPアプリケーションのソースコードのリークが発生します。 (2)プログラミングにおいて見過ごされがちなセキュリティ問題。 ASPコードはフォームを使用して対話し、対応するコンテンツはブラウザのアドレスバーに反映されます。適切なセキュリティ対策を講じない場合は、検証を省略して直接ページに移動することができます。たとえば、ブラウザに "... page.asp?x = 1"と入力すると、フォームページを経由せずに、 "x = 1"条件を満たすページに直接入力できます。したがって、確認ページまたは登録ページでこのような問題を回避するには、特別な措置を講じる必要があります。

第二に、IIS + ASPのウェブサイト方法

1のセキュリティを向上させます。データベースがダウンロードされないようにするAccessデータベースの暗号化メカニズムは非常に単純で、データベースのダウンロードを効果的に妨げるので、ASP + Accessソリューションのセキュリティを向上させるための最優先事項となりました。次の2つの方法は簡単で効果的です。 (1)異例の命名法。 Accessデータベースファイルに複雑で特殊な名前を付け、いくつかのディレクトリに配置します。例えば、オンライン書店のデータベースのために、私たちは「book.mdb」または「Store.mdb」という名前を付けていませんが、名前の非常に規則から、例えば:faq9jl.mdb、その後、./akktとしてそれを置きます/kj61 /acd /av5という複数レベルのディレクトリでは、ハッカーがAccessデータベースの名前を推測して取得することは非常に困難です。 (2)ODBCデータソースを使用する。
DBPATH = Server.MapPathの:条件付きの場合ASPプログラムの設計では、そうでない場合、例えば、ASPのソースコードと妥協と妥協とデータベース名、プログラムにデータベース名を記述するのではなく、ODBCデータ・ソースを使用するようにしてください( "./akkt/kj61/acd/av5/faq9jl.mdb")
conn.open "ドライバ= {Accessドライバー(* .MDB)}; DBQ =" &DBPATH
可視、たとえデータベース名ASPのソースコードが危険にさらされた後も、ダウンロードは簡単です。 ODBCデータソースを使用している場合は、このような問題はありません。conn.open "ODBC-DSN name" 2 ASPページの暗号化ASPソースコードの漏洩を効果的に防ぐために、ASPページを暗号化することができます。 ASPページを暗号化するために2つの方法を使用しました。 1つはコンポーネントテクノロジを使用してプログラミングロジックをDLLにカプセル化すること、もう1つはMicrosoftのScript Encoderを使用してASPページを暗号化することです。主な問題は非常によく、簡単なため*、より複雑なため*、より大きな作業負荷、エンコーダを暗号化するASPページを使用する各コードのコンポーネント技術に必要な部品を使用することです。 /sである:式
OUTPUTFILE INPUTFILE
SCRENC [/S] [/F] [/XL] [/L defLanguage] [/EのdefExtension]:スクリプトエンコーダ動作手順SCRENC.EXEあり、使用であります画面出力を遮断; /Fは、同じ名前の出力ファイル入力ファイルを上書きするかどうかを指定します; /XLは、トップ@Languageの.aspファイルに追加するかどうかを指示を意味し; /リットルdefLanguagデフォルトのスクリプト言語を指定します。/EのdefExtensionは暗号化されたファイルの拡張子を指定することが。 3。登録確認登録されていないユーザーが登録インターフェースを迂回してアプリケーションシステムに入るのを防ぐために、登録確認にSessionオブジェクトを使用します。たとえば、次の登録ページを作成しました。
設計上、登録が成功した後、システムはhrmis.asp?page = 1ページを起動する必要があります。登録検証にSessionオブジェクトを使用する代わりに、ユーザーがブラウザに「URL /hrmis.asp?page = 1」と入力して登録インターフェイスをバイパスしてシステムに直接入ることができるとします。ここで
、Sessionオブジェクトの登録の検証を使用します。最初の検証、アプリケーションを入力した後

を:研究

は、IIS + ASP +アクセスオンラインアプリケーションシステムのセキュリティによって、我々は、既存のシステムは修正され、良い結果を得ました。zh-CN"],null,[1],zh-TW"]]]

Copyright © Windowsの知識 All Rights Reserved