<code id="trief"><ol id="trief"></ol></code>

  • <td id="trief"></td>

    <acronym id="trief"></acronym>

    <td id="trief"></td>
    <pre id="trief"></pre>

    <td id="trief"></td>

    地址 首頁 - 新聞 - IT資訊

    網站安全問題

    發布日期:2018-12-22   來源:開封中聯網絡科技有限公司

    鄭州網站建設淺析導致安全問題的原因

    導致電子商務網站數據庫存在安全隱患的原因主要表現在以下幾個方面:

    ⑴用戶對數據庫的不正確訪問,引起數據庫數據的錯誤;

    ⑵為了某種目的,故意破壞數據庫,使其不能恢復;

    ⑶非法訪問不該訪問的數據庫信息,但又不留痕跡;

    ⑷用戶通過網絡進行數據庫訪問時,有可能受到各種技術(如搭線竊聽等)的攻擊;

    ⑸非法用戶繞過安全內核,竊取信息資源等現象;

    ⑹未經授權非法修改數據庫數據,使其數據失去真實性等等。

    ASP帶來的安全問題

    1.ASP程序源代碼的隱患

    由于ASP程序采用的是非編譯性語言,這大大降低了程序源代碼的安全性。任何人只要進入站點,就可以獲得源代碼,從而造成ASP應用程序源代碼的泄露。

    2.程序設計中的安全隱患

    ASP代碼利用表單(form)實現與用戶交互的功能,而相應的內容會反映在瀏覽器的地址欄中,如果不采用適當的安全措施,只要記下這些內容,就可以繞過驗證直接進入某一頁面。例如在瀏覽器中敲入“page.asp?x=1”,即可不經過表單頁面直接進入滿足“x=1”條件的頁面。因此,在設計驗證或注冊頁面時,必須采取特殊措施來避免此類問題的發生。

    保護的方法

    (一)非常規命名法

    修改數據庫的主文件名。防止數據庫被找到的簡便方法是為Access數據庫文件起一個復雜的非常規名字,并把它存放在多層目錄下。例如,對于網上花店的數據庫文件,不要簡單地命名為“flower.mdb”或“bloom.mdb”,而是要起個非常規的名字,例如:halower123.mdb,再把它放在如/wh123/wd123d/hoo9/dh123/abc之類的深層目錄下。這樣攻擊者想簡單地猜測數據庫的位置就很困難了。另外,把mdb擴展名修改為ASP或ASA等不影響數據查詢的名字

    但是有時候修改為ASP或者ASA以后仍然可以被下載,如將mdb修改為ASP以后,直接在IE的地址欄里輸入企業提供安全高效的信息服務。

    (二)使用ODBC數據源

    在ASP程序設計中,應盡量使用ODBC數據源,不要把數據庫名直接寫在程序中?!∪绻?,ASP源代碼失密后,數據庫也很容易被下載下來。如果使用ODBC數據源,就不會存在這樣的問題了。

    (三)加密ASP頁面

    可以使用微軟公司的免費軟件 Encoder對ASP頁面進行加密。它可以對當前目錄中的所有的ASP文件進行加密,并把加密后的文件統一輸出到相應的目錄中。由于 Encoder只加密在HTML頁面中嵌入的ASP代碼,其他部分仍保持不變,這就使得我們仍然可以使用FrontPage等常用網頁編輯工具對HTML部分進行修改、完善,操作起來簡單方便、效果良好。

    (四)利用Session對象進行注冊驗證

    為防止未經注冊的用戶繞過注冊界面直接進入應用系統,可以采用Session對象進行注冊驗證。Session對象最大的優點是可以把某用戶的信息保留下來,讓后續的網頁讀取。一般情況,在設計網站時都要求用戶注冊成功后才可登錄。但如果不采用Session對象進行注冊驗證,則用戶在瀏覽器中敲入“URL/hrmis.asp?page=1”即可繞過注冊界面,直接進入系統。利用Session對象可以有效阻止這一情況的發生。

    保障的措施

    (一)、存在漏洞的保護措施

    ⒈數據庫文件名應復雜

    下載Access數據庫文件,首先必須知道該數據庫文件的存儲路徑和文件名。如果你將原本非常簡單的數據庫文件名修改得更加復雜,這樣那些“不懷好意”者就要花費更多的時間去猜測數據庫文件名,無形中增強了Access數據庫的安全性。很多ASP程序為方便用戶使用,它的數據庫文件通常都被命名為“data.mdb”,這大大方便了有經驗的攻擊者。如果我們將數據庫文件名修改得復雜一些,他人就不易猜到,如將“data.mdb”修改為“1rtj0ma27xi.mdb”,然后修改數據庫連接文件中的相應信息。這樣Access數據庫就相對安全一些。此方法適合于那些租用Web空間的用戶使用。

    但其不足之處是,一旦查看到數據庫連接文件中的內容,再復雜的文件名也無濟于事。

    ⒉利用ODBC數據源

    很多網站Web程序,將Access數據庫文件的存儲路徑和文件名存放在數據庫連接文件中。一旦這些連接文件中的內容外泄,那么不管數據庫文件名多么復雜,都會暴露出蹤跡。

    這時就可以使用ODBC數據源方法,即使連接文件的內容外泄,他人也只能知道網站程序所使用的ODBC數據源名稱,而數據庫文件的存儲路徑和文件名卻無法找到。接著在ⅡS服務器中新建名為“rtjmaxi”的ODBC數據源,并在其中指定“1rtj0ma27xi.mdb”數據庫文件的位置即可,最后點擊“確定”按鈕完成配置。

    但其不足之處是,此方法不適合于租用Web空間的用戶使用,要想使用ODBC數據源方法,必須要有管理和維護ⅡS服務器的權限。

    ⒊改變存儲位置

    一般情況下,Access數據庫文件存放在相應的Web目錄中,很多黑客就是利用這種規律來查找并下載數據庫文件。因此可以采用改變數據庫文件存儲位置的方法,將數據庫文件存放在Web目錄以外的某個文件夾中,讓黑客難以猜測存儲位置。接著修改好數據庫連接文件中的數據庫文件相應信息,這樣Access數據庫文件就安全多了。即使攻擊者通過連接文件找到數據庫文件的存儲路徑,由于數據庫文件存放在Web目錄以外的地方,攻擊者就無法通過HTTP方式下載數據庫文件。但其不足之處是,此方法不適合于租用Web空間的用戶使用,因為將Access數據庫文件移至Web目錄之外,一般需要很大的權限。

    以上方法,在不同程度上增強了數據庫文件的安全性,但我們不能將它們當成“仙丹妙藥”,畢竟網絡環境是復雜的,黑客的破壞手段也在不斷增強,我們可以根據自己的需要,選擇其中的多種方法配合使用,效果才會更理想,網站數據庫后臺文件才會更加安全。

    返回
    搞搞网
    <code id="trief"><ol id="trief"></ol></code>

  • <td id="trief"></td>

    <acronym id="trief"></acronym>

    <td id="trief"></td>
    <pre id="trief"></pre>

    <td id="trief"></td>