网站内容安全防护技术浅析(ASP+Access数据库安全ODBC数据源的安全防范对策(图) )

　　网站内容安全防护技术浅析(ASP+Access数据库安全ODBC数据源的安全防范对策(图)

)

　　【摘要】本文分析研究了ASP+Access网站中Access数据库的主要安全问题，并从Access数据库安全和ASP页面安全等方面提出了相应的安全措施。

　　【关键词】ASP Access数据库安全ODBC数据源

　　笔者从事电子商务网站建设课程教学多年，一直选择ASP+Access方案建设方案。但是ASP+Access方案最大的安全隐患是Access数据库可以被攻击者非法下载，而现在网上提供的很多ASP空间只支持Access数据库。这样，防止Access数据库被非法下载是非常重要的。在本文中，作者将通过分析研究告诉大家如何为mdb数据库文件创建安全措施。

　　一、危机原因

　　(一）访问数据库安全问题

　　1.Access数据库的存储隐患

　　在ASP+Access应用系统中，如果获取或猜到Access数据库的存储路径和数据库名，就可以将数据库下载到本地。

　　2.Access数据库解密的隐患

　　由于Access数据库的加密机制非常简单，即使数据库设置了密码也很容易解密。数据库系统将用户输入的密码与某个固定的密钥进行异或运算，形成一个加密字符串，并存储在*.mdb文件中以“&H42”地址开始的区域中。由于异或运算的特点是“两次异或后恢复原值”，因此可以很容易地用这个key和*.mdb文件中的加密字符串进行第二次异或运算得到Access数据库。密码。基于这个原理，很容易在网上编译一个解密程序或者下载一个破解工具。数据库文件的内容、公司数据、隐私和员工密码不再安全。

　　(二）ASP带来的安全问题

　　1.ASP程序源码的隐患

　　由于ASP程序使用的是非编译语言，这大大降低了程序源代码的安全性。任何进入网站的人都可以获得源代码，从而导致 ASP 应用程序源代码的泄露。

　　2.编程中的安全隐患

　　ASP代码使用表单（form）来实现与用户交互的功能，相应的内容会反映在浏览器的地址栏中。如果没有采取适当的安全措施，只要记下这些内容，就可以绕过验证，直接输入某个地址。一页。例如，在浏览器中输入“page.asp?x=1”，可以直接进入满足“x=1”条件的页面，而无需经过表单页面。因此，在设计验证或注册页面时，必须采取特殊措施来避免此类问题。

　　二、预防措施

　　我们可以通过混淆法、隐藏法、加密法、ODBC数据源法、注册验证法等技术手段防止数据库文件被非法下载。

　　(一）非常规命名法

　　1.修改数据库主文件名，放到深目录下

　　防止数据库被发现的一种简单方法是为 Access 数据库文件指定一个复杂的、非常规的名称，并将其存储在多级目录中。例如，对于网上花店的数据库文件，不要简单地命名为“flower.mdb”或“bloom.mdb”，而是给它一个非常规的名称，如：halower123.mdb，那么把它放在像/wh123/wd123d/hoo9/dh123/abc这样的深层目录中。这使得攻击者很难简单地猜测数据库的位置。

　　2.将mdb扩展名改为不影响数据查询的名称，如ASP或ASA

　　但有时换成ASP或ASA后仍然可以下载。比如把mdb改成ASP后，直接在IE地址栏输入网络地址，虽然没有提示下载，但是浏览器中出现大量乱码。如果使用网际快车等专业的下载工具，可以直接下载数据库文件，所以需要找到网际快车无法下载的方法。根据网站的原理，在处理收录unicode码的链接时是不会被处理的。您可以使用 unicode 编码（例如，您可以使用“%3C”而不是“

　　三、结束语

　　所谓法宝一尺高，路一尺高：从网络安全技术的本质来说，就是“攻”与“防”的技术。为确保Access数据库文件不被非法下载，我们只需加强安全防范，防患于未然；网站真正为企业提供安全高效的信息服务。

　　参考：

　　[1] 周军.ASP网站系统安全技术研究。商洛学院学报, 2007, (5).

　　[2] 李东风，谢欣．数据库安全技术研究与应用。商洛大学学报, 2008, (1).

　　[3] 吴朴峰，张玉清. 数据库安全概述。商洛大学学报，2006，（12).