ＡＳＰ环境下的Ａｃｃｅｓｓ数据库安全.docVIP

ＡＳＰ环境下的Ａｃｃｅｓｓ数据库安全 　　摘要：作为开发中小型网上数据库应用系统的优秀开发方案之一，Asp+Access的开发模式也存在一些安全漏洞，文章分析了数据库的特点，并针对漏洞，提出了行之有效的解决方法。 　　关键词：Asp；Access；数据库；安全 　　中图法分类号：TP393.08文献标识码：A 文章编号：1009-3044(2008)11-20218-01 　　 　　随着计算机的普及和计算机各方面技术的高速发展，计算机网络也更加深入地影响和改变着我们的生活。作为一种服务器端脚本编写环境，ASP（Active Server Pages）可以用来创建和运行动态网页或Web应用程序，被广泛应用于新闻发布、搜索引擎、电子商务等各种互联网应用中。而Access数据库作为Microsoft公司推出的以标准JET为引擎的桌面型数据库系统，由于具有操作简单、界面友好等特点，得到了广大计算机用户的推崇。因此Asp+Access成为许多中小型网上应用系统开发的最佳方案之一。但是由于Asp+Access技术本身的局限性，也为用户带来了一定的安全隐患。 　　由于Asp动态网页开发技术主要使用在动态网页的设计中，所以有很多的网络攻击者通过寻找它的漏洞，达到获取管理员权限，并进一步控制服务器、窃取信息的目的。在这里，我们就Asp+Access的网络系统本身存在的几个方面的漏洞以及解决方法做一些探讨。 　　 　　1 Access数据库的安全问题 　　 　　Access数据库的安全问题主要表现在：一是Access数据库如果存储不当，可能被攻击者完全下载；二是Access数据库自身的加密系统比较脆弱，容易被破解。 　　1.1 Access数据库的存储安全 　　在由Asp+Access构建的网络系统中，如果对方能得到系统中数据库的存储路径以及文件名，就能轻易地将数据库下载到本地打开，获取其中的信息。 　　在存储Access数据库的时候，应该将文件名设置得不规律、位数较长，，并将文件放置于网站的多级目录下，让攻击者无法轻易地获取路径和文件名，即使攻击者不断地猜解路径和文件名，也需要耗费大量的时间。这种情况下，管理员在日常管理中也很容易从大量的日志文件发现服务器遭受攻击。 　　在修改完文件名后，数据库仍然可能被猜解并被下载。为提高安全性，需要将数据库文件的后缀名改为.asp或.asa，这样修改后，数据库文件仍然可以正常地被应用程序使用，而且当数据库文件被浏览器执行的时候，也不会被直接下载，而是会在浏览器中显示出乱码，不容易被窃取内容。 　　虽然数据库的扩展名变成了.asp，但是当攻击者获取完整路径以后还是可以下载到数据库，对方可以等浏览器页面完全打开以后将这个数据库asp页“另存为”到本机上面，然后将后缀名改为.mdb就可以了。要解决这个问题，可以在数据库内添加一行错误的Asp代码，管理员可以先建立一个隐藏表，表内只有一列，在表中只插入错误的一句Asp代码，这样一来，对方打开数据库的页面时就只会出现Asp脚本的错误信息，而不会下载数据库了。 　　以上所有的措施并不能保证Access数据库的绝对安全，因为一旦ASP源代码被攻击者掌握，无论数据库名字位数多长，隐藏的目录多深，ASP源代码被破解后，数据库也会很容易被攻击者下载。但是如果在Asp程序中使用ODBC数据源，就不会出现这样的情况。在ASP程序设计中，应尽量使用ODBC数据源，不要把数据库名直接写在程序中，否则，数据库名将随ASP源代码的失密而一同被攻击者掌握。例如： 　　DBPath = Server.MapPath(“./database/mydb/fasgwetywe11.mdb ”) 　　conn.Open “driver={Microsoft Access Driver (＊.mdb)};dbq=” ＆ DBPath 　　那么，数据库的地址就暴露出来，攻击者就很容易下载到数据库了。 　　但是，如果管理员采用的是ODBC数据源，攻击者即使拿到了源代码：conn.open “ODBC－DSN名”，他也无法得到数据库的物理地址，从而也无法通过下载的方式获取数据库文件。 　　1.2 Access数据库的加密安全 　　Access数据库自身的加密机制比较简单，很容易被破解。Access数据库的文件头中42H-4EH为密码区，管理员在设置密码时，Access会根据所设密码的ASCII码与密码区的内容进行异或运算，最后将运算的结果存入密码区。 　　在Access数据库打开之后，数据库中的所有对象对用户都将是可用的。所以对于一些存储重要数据的Access数据库，管理员除了设置数据库密码外，还应该对数据库中的数据进行加密。 　　 　　2 程序代码编写过程中