论文部分内容阅读
摘要:文章着重论述了网站维护的过程中,尤其是针对ASP+ACCESS网站安全的一些个人的思考。
关键词:网站安全;数据库;防护
一、引言
在高校中,简单的ASP+ACCESS网站仍是大多数人的选择。ASP作为一种较简单的编程语言,一来网上的资源比较多,二来在维护起来也比较方便,ACCESS就更容易了,它等于是数据库的入门级,条目清楚,结构简便,但是这种方便就带来了安全的隐患,如何保证后台数据库的安全,我们需要好好的思考一下。
二、保护ACCESS数据库的几种方法
(一)通过更优化的命名方法
目前,黑客只要通过查找网站中固定的几个文件,如conn.asp,inc/conn.asp,就可以从中查找到有关.mdb的信息,稍微对应一下目录,就可以将整个数据库完整的下载下来,这样,我们对数据库的安全就无从说起。有些人为了好记,通常会将数据库的中文意思,按照大写字母的顺序进行命名,如“人事系统”,会命名为rsxt.mdb,或者干脆为了方便,直接命名为data.mdb,123.mdb,另外,存放数据库的文件夹的命名,一般以data,database居多,并且将其放在主目录下面,很容易找到,更安全的做法是将它藏得深一点,放置在主目录下的多层目录中,命名也复杂一点为好。
在数据库连接文件conn.asp中常常出现下例:
DBPath=Server.MapPath(“abbkeitu/kjh44w1/ddc/apke /fass9228ba1.mdb”)conn. Open”driver={Microsoft Access Driver ( .mdb)};dbq=”& DBPath
这个mdb文件的命名真是复杂啊,但是如果conn.asp被下载了,找到这个数据库是非常容易的事,所以可以的话,还是利用ODBC数据源,即使conn.asp被盗,也只能得到数据源的名字而非原始数据库的名字。
(二)让写入ACCESS的数据进行加密
不知道大家发现没有,有些ACCESS字段,如password,会是一串经过加密后的文字,看也看不懂,这是怎么做到的呢?现今经常采用的是md5的加密算法,此算法将你原始的密码,进行一系列比对,转换,再写入数据库,这样做的好处是,正向算法不算太麻烦,但是逆向去推却是不可能的,最大程度上保障了用户密码的安全。
(三)改变一下放置数据库的位置
在被黑客攻击过几次后,我做过如下尝试,就是将数据库的位置搬到wwwroot外面来。设置主web服务器和备份服务器,data文件夹和wwwroot文件夹为同一级,备份服务器只限于单位内访问,所有的后台添加全部在备份服务器上完成,通过定时的备份文件,将备份服务器的数据传送至主web服务器上,主web服务器上关掉所有后台添加的入口,经过这样的处理过后,主web服务器再也没被攻击过。
(四)提防网页挂马
现在的黑客真是无孔不入,令人很头疼,网页挂马这种现象也出现过一次,乱七八糟的代码写在每个asp文件的后面,也有代码写入了ACCESS数据库。要防止这种情况,首先要做的就是备份数据库。有些网站要放在外面租用的空间上,那FTP上传文件的密码也要设得复杂一些,最好10位20位的。网页被挂马说直接点,大部分是网页代码的问题,黑客可以利用特定的参数向数据库中写入挂马链接,另外,上传附件如要求不严格的话,也极易造成漏洞,让黑客上传了木马文件,导致整个网站面目全非。因此,要提防网页挂马,就是要仔细比对网页代码,不要留下特别明显的漏洞,关闭掉web服务器上不用的端口及服务程序,要用的时候再一个一个的开,有条件的话,在web服务器上装网页防篡改系统,又给了网站另一层保护。
(五)杀毒软件要经常更新
这是最基本的一点,web服务器上肯定要装上杀毒软件,保持杀毒软件保持在最新的状态,定期对服务器进行全面扫描,将木马啊,病毒啊及时的查找出来。防火墙也是必要的手段,一般来讲,在服务器上都会装上硬件防火墙,它的功用大大超过软件防火墙。
三、结语
网站的安全,在很大程度上,不仅仅是技术的问题,更大程度上,是管理的问题,对网站进行合理有序的管理与维护,是我们网络安全管理员必须要做的。随着社会的进步,网站的管理手段也会越来越好,有更好的管理软件,我们要善于利用去做好网站的防护。
参考文献:
[1]刘文才;袁媛.也谈提高ASP+Access网站数据库安全性对策[J].科技与生活,2009(21).
(作者简介:陈杏黎(1981-),女,江苏南通人,南通航运职业技术学院现代教育技术中心助理实验师。)
关键词:网站安全;数据库;防护
一、引言
在高校中,简单的ASP+ACCESS网站仍是大多数人的选择。ASP作为一种较简单的编程语言,一来网上的资源比较多,二来在维护起来也比较方便,ACCESS就更容易了,它等于是数据库的入门级,条目清楚,结构简便,但是这种方便就带来了安全的隐患,如何保证后台数据库的安全,我们需要好好的思考一下。
二、保护ACCESS数据库的几种方法
(一)通过更优化的命名方法
目前,黑客只要通过查找网站中固定的几个文件,如conn.asp,inc/conn.asp,就可以从中查找到有关.mdb的信息,稍微对应一下目录,就可以将整个数据库完整的下载下来,这样,我们对数据库的安全就无从说起。有些人为了好记,通常会将数据库的中文意思,按照大写字母的顺序进行命名,如“人事系统”,会命名为rsxt.mdb,或者干脆为了方便,直接命名为data.mdb,123.mdb,另外,存放数据库的文件夹的命名,一般以data,database居多,并且将其放在主目录下面,很容易找到,更安全的做法是将它藏得深一点,放置在主目录下的多层目录中,命名也复杂一点为好。
在数据库连接文件conn.asp中常常出现下例:
DBPath=Server.MapPath(“abbkeitu/kjh44w1/ddc/apke /fass9228ba1.mdb”)conn. Open”driver={Microsoft Access Driver ( .mdb)};dbq=”& DBPath
这个mdb文件的命名真是复杂啊,但是如果conn.asp被下载了,找到这个数据库是非常容易的事,所以可以的话,还是利用ODBC数据源,即使conn.asp被盗,也只能得到数据源的名字而非原始数据库的名字。
(二)让写入ACCESS的数据进行加密
不知道大家发现没有,有些ACCESS字段,如password,会是一串经过加密后的文字,看也看不懂,这是怎么做到的呢?现今经常采用的是md5的加密算法,此算法将你原始的密码,进行一系列比对,转换,再写入数据库,这样做的好处是,正向算法不算太麻烦,但是逆向去推却是不可能的,最大程度上保障了用户密码的安全。
(三)改变一下放置数据库的位置
在被黑客攻击过几次后,我做过如下尝试,就是将数据库的位置搬到wwwroot外面来。设置主web服务器和备份服务器,data文件夹和wwwroot文件夹为同一级,备份服务器只限于单位内访问,所有的后台添加全部在备份服务器上完成,通过定时的备份文件,将备份服务器的数据传送至主web服务器上,主web服务器上关掉所有后台添加的入口,经过这样的处理过后,主web服务器再也没被攻击过。
(四)提防网页挂马
现在的黑客真是无孔不入,令人很头疼,网页挂马这种现象也出现过一次,乱七八糟的代码写在每个asp文件的后面,也有代码写入了ACCESS数据库。要防止这种情况,首先要做的就是备份数据库。有些网站要放在外面租用的空间上,那FTP上传文件的密码也要设得复杂一些,最好10位20位的。网页被挂马说直接点,大部分是网页代码的问题,黑客可以利用特定的参数向数据库中写入挂马链接,另外,上传附件如要求不严格的话,也极易造成漏洞,让黑客上传了木马文件,导致整个网站面目全非。因此,要提防网页挂马,就是要仔细比对网页代码,不要留下特别明显的漏洞,关闭掉web服务器上不用的端口及服务程序,要用的时候再一个一个的开,有条件的话,在web服务器上装网页防篡改系统,又给了网站另一层保护。
(五)杀毒软件要经常更新
这是最基本的一点,web服务器上肯定要装上杀毒软件,保持杀毒软件保持在最新的状态,定期对服务器进行全面扫描,将木马啊,病毒啊及时的查找出来。防火墙也是必要的手段,一般来讲,在服务器上都会装上硬件防火墙,它的功用大大超过软件防火墙。
三、结语
网站的安全,在很大程度上,不仅仅是技术的问题,更大程度上,是管理的问题,对网站进行合理有序的管理与维护,是我们网络安全管理员必须要做的。随着社会的进步,网站的管理手段也会越来越好,有更好的管理软件,我们要善于利用去做好网站的防护。
参考文献:
[1]刘文才;袁媛.也谈提高ASP+Access网站数据库安全性对策[J].科技与生活,2009(21).
(作者简介:陈杏黎(1981-),女,江苏南通人,南通航运职业技术学院现代教育技术中心助理实验师。)