基于Access+ASP方案網站的安全性分析

梅彬

摘 要：Access+ASP搭建的動態網站被廣泛應用于校園網、BBS等各種網絡活動中，它簡單方便的同時也帶來了一些列的安全問題。本文就Access+ASP網站存在的主要安全隱患及防范對策進行了分析。

關鍵詞：asp；數據庫；安全防范；對策

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1671-2064（2017）07-0029-01

1 安全隱患分析

Access+ASP網站主要安全隱患一方面來自Access數據庫的安全性，一方面來自ASP網頁設計過程中的安全意識。

1.1 數據庫被下載

數據庫安全與否關系到網站的安全。ACCESS數據庫名字的后綴是（*.mdb），攻擊者可以通過多次路徑猜想獲取數據庫。數據庫中的關鍵信息特別是管理員用戶名和密碼，就完全暴露在攻擊者的面前，這時網站已經無安全可言。解決這個問題的常規方法是先把數據庫文件名的后綴由“.mdb”改為“.asp，再修改連接文件中的鏈接地址，這樣即使別人猜到數據庫文件名及存儲位置，也不容易下載。原因是以“，mdb”結尾的文件內容是直接輸出至瀏覽器頁面，而以“.asp”結尾的文件則要經過處理，顯示在瀏覽器頁面上的內容是處理后的結果。采取這種方法保護數據庫，攻擊者仍可借助一些網絡下載工具（flashget）順利下載。這說明單純修改數據庫文件名的后綴還是不能避免被下載。

1.2 數據庫被解密

網站將所使用的Access數據庫在存儲時采用了系統自帶的加密方法，由于系統自帶的加密方法是采用“異或”的方式來加密。這種加密方法簡單安全性低，網上隨便下載一個異或解密工具就可以輕松的獲得密碼字符串，這樣數據庫也會被完全解密。

1.3 ASP頁面存在的安全問題

（1）ASP源代碼不安全。由于ASP腳本程序是直接集成在HTML中，無需編譯直接被瀏覽器解釋和執行，一般用戶能輕松獲得ASP源代碼；如果使用下載工具Teleport Ultra也能獲得源代碼，造成代碼泄露。

（2）腳本程序設計考慮欠缺帶來的安全隱患。網頁設計中，用戶和服務器的交流的主要工具是表單，用戶通過表單向服務器提交和接收數據，服務器要依靠我們設計的腳本程序來處理和收集數據，我們在腳本程序設計中稍有考慮不周全的地方就會出現很多意想不到的安全問題。

2 安全防范措施

2.1 防止數據庫被下載

Access簡單兼容性好是小型數據庫首先方案，安全方面只要做一些防范措施，還是可以確保網站的安全性。其中最重要的是防止數據庫被下載。以下三種方法簡單而有效。

（1）非常規取名，名字前加特殊符號。為Access數據庫文件起一個復雜的名字，名字前加一個“#”或者空格符號，并把它放在多級目錄下。非法下載時“#”前的會被識別，后的不被識別，空格被識別為“%”號。假設：http：//www.ynqj.net/rt/# 000.mdb；http：//www.ynqj.net/rt/%000.mdb存在，借助瀏覽器和工具下載時：前者下載的是網站首頁文檔，后者顯示下載路徑不存在。

（2）使用ODBC數據源。自己有服務器，可以使用ODBC數據源方法。只要注意在程序設計中不出現數據庫的名字，數據庫被下載的可能性就不存在，但是這種方法如果存儲目錄改變就要重新設置數據源比較麻煩。

（3）改變數據庫位置，設置文件的權限。把數據庫文件存放在網站主目錄外的文件里，合理設置該文件的權限，做數據庫名的MDB映射，修改連接，這樣就可以正常調用數據庫且不會被下載。

2.2 對數庫進行md5加密并修改文件頭

網上破解軟件層出不窮，隨便下載一個就可輕松破解數據庫。筆者嘗試先對數據庫進行md5加密，再修改數據庫的文件頭，因為文件頭的前16個字節保存了mdb文件的相關信息，一旦被修改，數據庫的相關信息就被隱藏，即是數據庫被下載了，破解的難度也很大。

2.3 對ASP頁面進行加密

ASP頁面加密常用的技術有三種，組件加密技術、微軟的 Script Encoder技術、自編程序加密。組件加密技術不能反編譯最安全，難破解，但是工作量大，代碼較多的網站不易做到，因每段代碼都需組件化封裝； Script Encoder簡單易學、可批量加密，支持多種腳本服務器語言如：ASP、HTML、JS等，應用范圍廣，但是存在加密后低版本瀏覽器可能會顯示不正常，易被破解；自編程序加密的基本思路是寫一個加密和一個解密函數，先對代碼進行加密再在執行過程中解密，這種加密方法因人而異，可隨時修改，發揮空間大，不容易被解密，但要求很高，一般人不容易實現。

網絡環境復雜，技術更新快，攻擊手段也是多種多樣，我們只有根據實際情況，選擇多種方法組合使用，網站信息才會更安全；同時要養成備份重要數據的習慣，隨時做好計算機各種資料數據的備份，這樣才能保證網站的安全性。

參考文獻

[1]喻華.ASP網站的安全問題及對策分析.計算機與網絡，2004.

[2]王宇虹.Access數據庫系統開發從基礎到實踐[M].2006-3-1.

[3]張弘.初探中國ASP[M].電子與電腦，2001.