隨著internet的發展,web技術日新月異。繼通用閘道器介面(cgi)之後,「asp」(active server pages)作為一種典型的伺服器端網頁設計技術,被廣泛地應用在網上銀行、電子商務、搜尋引擎等各種網際網路應用中。同時access資料庫作為微軟推出的以標準jet為引擎的桌面型資料庫系統,由於具有操作簡單、介面友好等特點,具有較大的使用者群體。因此asp+access成為許多中小型網上應用系統的首選方案。但asp+access解決方案在為我們帶來便捷的同時,也帶來了不容忽視的安全問題。
asp+access的安全隱患ywbcd.com
nhjvu.com
nhufd.com
asp+access解決方案的主要安全隱患來自access資料庫的安全性,其次在於asp網頁設計過程中的安全漏洞。
1.access資料庫的儲存隱患
2.access資料庫的解密隱患nhjvu.com
nhufd.com
由於access資料庫的加密機制非常簡單,所以即使資料庫設定了密碼,解密也很容易。該資料庫系統通過將使用者輸入的密碼與某一固定金鑰進行異或來形成乙個加密串,並將其儲存在*.mdb檔案中從位址「&h42」開始的區域內。由於異或操作的特點是「經過兩次異或就恢復原值」,因此,用這一金鑰與*.mdb檔案中的加密串進行第二次異或操作,就可以輕鬆地得到access資料庫的密碼。基於這種原理,可以很容易地編制出解密程式。
3.源**的安全隱患
由於asp程式採用的是非編譯性語言,這大大降低了程式源**的安全性。任何人只要進入站點,就可以獲得源**,從而造成asp應用程式源**的洩露。
4.程式設計中的安全隱患nhufd.com
asp**利用表單(form)實現與使用者互動的功能,而相應的內容會反映在瀏覽器的位址列中,如果不採用適當的安全措施,只要記下這些內容,就可以繞過驗證直接進入某一頁面。例如在瀏覽器中敲入「……page.asp
ASP Access的安全隱患及對策
圖1 註冊頁面 設計要求使用者註冊成功後系統啟動hrmis.asp?page 1頁面。如果不採用session物件進行註冊驗證,則使用者在瀏覽器中敲入 url hrmis.asp?page 1 即可繞過註冊介面,直接進入系統。利用session物件可以有效阻止這一情況的發生。相關的程 序 如下 讀取...
WEB安全隱患
org.apache.commons.lang.stringescapeutils 進行輸入框內容處理 stringescapeutils.escapesql str stringescapeutils.escapehtml str 1 跨站指令碼攻擊 cross site scripting 解決...
docker remote api 的安全隱患
開啟docker的api,首先要知道docker的守護程序daemon,在下認為daemon作為client和service連線的乙個橋梁,負責代替將client的請求傳遞給service端。預設情況daemon只由root控制,但我們可以通過 h繫結到埠上,這樣通過埠訪問的方式執行命令。我用的是u...