推薦：ASP+Access數(shù)據(jù)庫安全隱患及對策

隨著Internet的發(fā)展，Web技術(shù)日新月異。繼通用網(wǎng)關(guān)接口(CGI)之后，“ASP”(Active Server Pages)作為一種典型的服務(wù)器端網(wǎng)頁設(shè)計(jì)技術(shù)，被廣泛地應(yīng)用在網(wǎng)上銀行、電子商務(wù)、搜索引擎等各種互聯(lián)網(wǎng)應(yīng)用中。同時(shí)Access數(shù)據(jù)庫作為微軟推出的以標(biāo)準(zhǔn)JET為引擎的桌面型數(shù)據(jù)庫系統(tǒng)，由于具有操作簡單、界面友好等特點(diǎn)，具有較大的用戶群體。因此ASP+Access成為許多中小型網(wǎng)上應(yīng)用系統(tǒng)的首選方案。但ASP+Access解決方案在為我們帶來便捷的同時(shí)，也帶來了不容忽視的安全問題。
    ASP+Access的安全隱患ASP+Access解決方案的主要安全隱患來自Access數(shù)據(jù)庫的安全性，其次在于ASP網(wǎng)頁設(shè)計(jì)過程中的安全漏洞。
    1.Access數(shù)據(jù)庫的存儲隱患
    在ASP+Access應(yīng)用系統(tǒng)中，如果獲得或者猜到Access數(shù)據(jù)庫的存儲路徑和數(shù)據(jù)庫名，則該數(shù)據(jù)庫就可以被下載到本地。例如：對于網(wǎng)上書店的Access數(shù)據(jù)庫，人們一般命名為book.mdb、store.mdb等，而存儲的路徑一般為“URL/database”或干脆放在根目錄(“URL/”)下。這樣，只要在瀏覽器地址欄中敲入地址：“URL/database/store.mdb”，就可以輕易地把store.mdb下載到本地的機(jī)器中。
    2.Access數(shù)據(jù)庫的解密隱患
    由于Access數(shù)據(jù)庫的加密機(jī)制非常簡單，所以即使數(shù)據(jù)庫設(shè)置了密碼，解密也很容易。該數(shù)據(jù)庫系統(tǒng)通過將用戶輸入的密碼與某一固定密鑰進(jìn)行異或來形成一個(gè)加密串，并將其存儲在*.mdb文件中從地址“&H42”開始的區(qū)域內(nèi)。由于異或操作的特點(diǎn)是“經(jīng)過兩次異或就恢復(fù)原值”，因此，用這一密鑰與*.mdb文件中的加密串進(jìn)行第二次異或操作，就可以輕松地得到Access數(shù)據(jù)庫的密碼?；谶@種原理，可以很容易地編制出解密程序。
    由此可見，無論是否設(shè)置了數(shù)據(jù)庫密碼，只要數(shù)據(jù)庫被下載，其信息就沒有任何安全性可言了。
    3.源代碼的安全隱患
    由于ASP程序采用的是非編譯性語言，這大大降低了程序源代碼的安全性。任何人只要進(jìn)入站點(diǎn)，就可以獲得源代碼，從而造成ASP應(yīng)用程序源代碼的泄露。
    4.程序設(shè)計(jì)中的安全隱患
    ASP代碼利用表單(form)實(shí)現(xiàn)與用戶交互的功能，而相應(yīng)的內(nèi)容會反映在瀏覽器的地址欄中，如果不采用適當(dāng)?shù)陌踩胧灰浵逻@些內(nèi)
    容，就可以繞過驗(yàn)證直接進(jìn)入某一頁面。例如在瀏覽器中敲入“……page.asp?x=1”，即可不經(jīng)過表單頁面直接進(jìn)入滿足“x=1”條件的頁面。因此，在設(shè)計(jì)驗(yàn)證或注冊頁面時(shí)，必須采取特殊措施來避免此類問題的發(fā)生。