论文部分内容阅读
摘要:采用Asp Access方案搭建服务器,简单方便,易于管理,从而被广泛采用。但Asp+Access解决方案在为我们带来便捷的同时,也带来了不容忽视的安全问题。
关键词:asp;access;安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)09-11586-02
Analysis of Potential Safety Problems of ASP Access and Their Counter-measures
GUO Liang1, CUI Jin-ling2
(1.Anyang Institute of Technology, Anyang 455000, China; 2.Henan Normal University, Xinxiang 453002, China)
Abstract: Asp Access server is widely adopted for its easiness, convenience and manageability. But Access system also brings some unnegligible safety problem besides its convenience and high efficiency.
Key words: asp; access; safety
1 ASP和Access简要介绍
ASP是Active Server Page的缩写,意为“活动服务器网页”。它是微软公司开发的代替CGI脚本程序的一种应用,它可以与数据库和其它程序进行交互,是一种简单、方便的编程工具,常用于各种动态网站中。
Microsoft Office Access(前名 Microsoft Access)是由微软发布的基于Windows的桌面关系数据库管理系统(RDBMS)。它结合了Microsoft Jet Database Engine和图形用户界面两项特点,是Microsoft Office的成员之一。Access能够存取 Access/Jet、Microsoft SQL Server、Oracle,或者任何 ODBC 兼容数据库内的资料。它提供了表、查询、窗体、报表、页、宏、模块7种用来建立数据库系统的对象;提供了多种向导、生成器、模板,把数据存储、数据查询、界面设计、报表生成等操作规范化;为建立功能完善的数据库管理系统提供了方便,也使得普通用户不必编写代码,就可以完成大部分数据管理的任务。
2 Asp Access隐患分析
ASP+Access主要安全隐患来自Access数据库的安全性,其次在于ASP网页设计过程中的安全漏洞。
2.1 Access数据库的存储隐患
在ASP+Access应用系统中,如果获得或者猜到Access数据库的存储路径和数据库名,则该数据库就可以被下载到本地。例如:对于网上书店的Access数据库,人们一般命名为book.mdb、store.mdb等,而存储的路径一般为“URL/database”或干脆放在根目录(“URL/”)下。这样,只要在浏览器地址栏中敲入地址:“URL/database/store.mdb”,就可以轻易地把store.mdb下载到本地的机器中。
2.2 Access数据库的解密隐患
由于Access数据库的加密机制非常简单,所以即使数据库设置了密码,解密也很容易。该数据库系统通过将用户输入的密码与某一固定密钥进行异或来形成一个加密串,并将其存储在*.mdb文件中从地址“
关键词:asp;access;安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)09-11586-02
Analysis of Potential Safety Problems of ASP Access and Their Counter-measures
GUO Liang1, CUI Jin-ling2
(1.Anyang Institute of Technology, Anyang 455000, China; 2.Henan Normal University, Xinxiang 453002, China)
Abstract: Asp Access server is widely adopted for its easiness, convenience and manageability. But Access system also brings some unnegligible safety problem besides its convenience and high efficiency.
Key words: asp; access; safety
1 ASP和Access简要介绍
ASP是Active Server Page的缩写,意为“活动服务器网页”。它是微软公司开发的代替CGI脚本程序的一种应用,它可以与数据库和其它程序进行交互,是一种简单、方便的编程工具,常用于各种动态网站中。
Microsoft Office Access(前名 Microsoft Access)是由微软发布的基于Windows的桌面关系数据库管理系统(RDBMS)。它结合了Microsoft Jet Database Engine和图形用户界面两项特点,是Microsoft Office的成员之一。Access能够存取 Access/Jet、Microsoft SQL Server、Oracle,或者任何 ODBC 兼容数据库内的资料。它提供了表、查询、窗体、报表、页、宏、模块7种用来建立数据库系统的对象;提供了多种向导、生成器、模板,把数据存储、数据查询、界面设计、报表生成等操作规范化;为建立功能完善的数据库管理系统提供了方便,也使得普通用户不必编写代码,就可以完成大部分数据管理的任务。
2 Asp Access隐患分析
ASP+Access主要安全隐患来自Access数据库的安全性,其次在于ASP网页设计过程中的安全漏洞。
2.1 Access数据库的存储隐患
在ASP+Access应用系统中,如果获得或者猜到Access数据库的存储路径和数据库名,则该数据库就可以被下载到本地。例如:对于网上书店的Access数据库,人们一般命名为book.mdb、store.mdb等,而存储的路径一般为“URL/database”或干脆放在根目录(“URL/”)下。这样,只要在浏览器地址栏中敲入地址:“URL/database/store.mdb”,就可以轻易地把store.mdb下载到本地的机器中。
2.2 Access数据库的解密隐患
由于Access数据库的加密机制非常简单,所以即使数据库设置了密码,解密也很容易。该数据库系统通过将用户输入的密码与某一固定密钥进行异或来形成一个加密串,并将其存储在*.mdb文件中从地址“