ASP+Access 电子商务网站安全保障思索随着电子商务的蓬勃进展,电子商务购物网站的设计具有非常重要的意义。ASP(ActiveServerPages)由于编写简单、维护方便、功能丰富等特点获得了广泛的应用,是电子商务网站建设中的常见工具。与此同时,由于 Access 数据库具有操作简单、功能齐全、用户界面友好、使用维护方便等优点而拥有较大的用户群体。目前,ASP+Access 是中小型电子商务网站的首选方案。但是,该解决方案在带给我们便捷的同时,也带来了严峻的安全问题。本文主要从 ASP 和 Access 两方面讨论了电子商务建设中存在的几种常见的安全性问题及其解决方法。1 电子商务网站的安全分析电子商务网站受到攻击后产生的危害主要体现在修改网页内容、窃取商业数据和个人账户资料、恶意破坏网站以及窃取程序文件等。基于 ASP 技术和 Access 数据库建设的电子商务网站,主要的安全隐患一方面来自 Access 数据库的安全性,另一方面来自 ASP 源文件和 ASP 网页设计过程中的安全意识。1.1Access 数据库的存储隐患采纳 Access 数据库建设的电子商务网站中,假如有人获得或猜到了数据库的存储路径和数据名,那么该数据库就可以被下载到本地。例如,某电子商务网站的URL ( UniformResourceLocator ) 是 , 而 网 站 使 用 的 数 据 库ec.mdb 就放在根目录/下。那么只要在在浏览器地址栏中输入地址:http:///ec.mdb,数据库 ec.mdb 就可以轻松的被下载了。1.2Access 数据库的解密隐患由于 Access 数据库的加密机制比较简单,即使设置了密码,也很容易解密。该数据库系统通过将用户输入的密码与某一固定的密钥进行异或来形成一个加密串,并将其存储在*.mdb 文件从地址“&H24”开始的区域中。根据异或操作的特点,可以很轻易的编制出解密程序。所以,无论数据库是否设置密码,只要数据库被下载,其信息就没有任何安全性可言了。1.3ASP 源文件的安全隐患由于 ASP 程序是非编译性语言,采纳 ASP 技术编写的脚本程序使用明文(plaintext)编写,一旦 ASP 应用程序发布到网络环境中,源代码就很容易泄漏,大大降低了源程序代码的安全性。因此任何人闯入站点,那么就可以获得全部的 ASP 应用程序源代码。1.4ASP 程序设计中的安全隐患ASP 代码利用表单实现和用户的交换的功能,在不同的 ASP 页面之间传递变量时,其内容会反映在浏览器的地址栏中。假如不实行适当的安全措施,那么只要记住这些内容就可以绕...
