浅析网站数据库的安全防范及对策

1、浅析网站数据库的平安防范及对策【摘要】本文通过对asp+aess网站中aess数据库存在的主要平安问题进展分析研究，并从aess数据库平安性和asp页面平安性等方面提出相应的平安防范对策。【关键词】aspaess数据库平安db数据源笔者从事电子商务网站建立课程教学工作多年，一直选用aspaess方案构建方案。但aspaess方案最大的平安隐患在于aess数据库可以被攻击者非法下载，而如今互联网上提供的很多asp空间都是只支持aess数据库。这样一来，防止aess数据库被非法下载就显得非常重要了。本文笔者通过分析研究将告诉大家如何打造db数据库文件的平安防范对策。一、危机起因一aess数据库的平

2、安问题1.aess数据库的存储隐患在aspaess应用系统中，假如获得或者猜想到aess数据库的存储途径和数据库名，那么该数据库就可以被下载到本地。2.aess数据库的解密隐患由于aess数据库的加密机制非常简单，所以即使数据库设置了密码，解密也很容易。该数据库系统通过将用户输入的密码与某一固定密钥进展异或来形成一个加密串，并将其存储在.db文件中从地址“h42开场的区域内。由于异或操作的特点是“经过两次异或就恢复原值，因此，用这一密钥与.db文件中的加密串进展第二次异或操作，就可以轻松地得到aess数据库的密码。基于这种原理，很容易编制出解密程序或者在互联网上下载到破解工具，数据库文件的内容

3、，企业的资料、隐私和员工的密码从此不在平安。由此可见，无论是否设置了数据库密码，只要数据库被下载，其信息就没有任何平安性可言了。二asp带来的平安问题1.asp程序源代码的隐患由于asp程序采用的是非编译性语言，这大大降低了程序源代码的平安性。任何人只要进入站点，就可以获得源代码，从而造成asp应用程序源代码的泄露。2.程序设计中的平安隐患asp代码利用表单fr实现与用户交互的功能，而相应的内容会反映在阅读器的地址栏中，假如不采用适当的平安措施，只要记下这些内容，就可以绕过验证直接进入某一页面。例如在阅读器中敲入“page.asp?x=1，即可不经过表单页面直接进入满足“x=1条件的页面。因此

4、，在设计验证或注册页面时，必须采取特殊措施来防止此类问题的发生。二、防范对策我们可以采用迷惑法、隐藏法、加密法、db数据源法和注册验证法等技术手段防止数据库文件被非法下载。一非常规命名法1.把数据库的主文件名进展修改，并且放到很深的目录下面防止数据库被找到的简便方法是为aess数据库文件起一个复杂的非常规名字，并把它存放在多层目录下。例如，对于网上花店的数据库文件，不要简单地命名为“fler.db或“bl.db，而是要起个非常规的名字，例如：haler123.db，再把它放在如/h123/d123d/h9/dh123/ab之类的深层目录下。这样攻击者想简单地猜想数据库的位置就很困难了。2.把d

5、b扩展名修改为asp或asa等不影响数据查询的名字但是有时候修改为asp或者asa以后仍然可以被下载，如将db修改为asp以后，直接在ie的地址栏里输入网络地址，虽然没有提示下载但是却在阅读器里出现了一大片乱码。假如使用flashget等专业的下载工具就可以直接把数据库文件下载下来，因此需要找到一种flashget无法下载的方法。根据网站在处理包含unide码的链接的时候将会不予处理的原理。可以利用unide编码比方可以利用“%3代替“等，来到达目的。而flashget在处理包含unide码的链接的时候却“自作聪明地把unide编码做了对应的处理，比方自动把“%29的unide编码字符转化成“

6、。即是说如向flashget提交一个二使用db数据源在asp程序设计中，应尽量使用db数据源，不要把数据库名直接写在程序中。例如：直接语句dbpath=serverappath(“/h123/d123d/h9/dh123/ab/haler123.db)db数据源语句nnpen“driver=irsftaessdriver(.db);dbq=dbpath可见，即使数据库名字起得再怪异，隐藏的目录再深，asp源代码失密后，数据库也很容易被下载下来。假如使用db数据源，就不会存在这样的问题了。三加密asp页面可以使用微软公司的免费软件sriptender对asp页面进展加密。它可以对当前目录中的所有

7、的asp文件进展加密，并把加密后的文件统一输出到相应的目录中。由于sriptender只加密在htl页面中嵌入的asp代码，其他部分仍保持不变，这就使得我们仍然可以使用frntpage等常用网页编辑工具对htl部分进展修改、完善，操作起来简单方便、效果良好。四利用sessin对象进展注册验证为防止未经注册的用户绕过注册界面直接进入应用系统，可以采用sessin对象进展注册验证。sessin对象最大的优点是可以把某用户的信息保存下来，让后续的网页读龋一般情况，在设计网站时都要求用户注册成功后才可登录。但假如不采用sessin对象进展注册验证，那么用户在阅读器中敲入“url/hris.asp?pa

8、ge=1即可绕过注册界面，直接进入系统。利用sessin对象可以有效阻止这一情况的发生。相关的程序代码如下：读取用户输入的账号和密码userid=request(“userid)passrd=request(“passrd)检查userid及passrd是否正确实际程序可能会比拟复杂ifuserid“hrisrpassrd“passrdthenrespnse.rite“账号错误respnse.endendif将sessin对象设置为通过验证状态sessin(“passed)=true进入应用程序后，首先进展验证：假如未通过验证，返回lgin状态ifntsessin(“passed)thenrespnse.rediret“lgin.htendif三、完毕语所谓魔高