王继红

黑龙江信息技术职业学院，黑龙江 哈尔滨 150025

0 引言

随着Internet的发展，Web技术日新月异。ASP(Active Server Pages)作为一种典型的、成熟的服务器端网页设计技术，被广泛地应用在企业网站、网上商城等各种互联网应用中。同时Access数据库作为微软推出的以标准JET为引擎的桌面型数据库系统，由于具有界面友好、操作简单等特点，具有大量的用户群体。因此，ASP＋Access成为很多中小型网上应用系统的首选方案。但ASP＋Access解决方案在为我们带来便利的同时，也带来了很多不容忽视的安全问题。

1 Access数据库的漏洞及安全防范

1.1 漏洞分析

在ASP＋Access应用系统中，攻击者会根据经验获得或者猜到Access数据库的存储路径和数据库名，则该数据库就可以被下载到本地。例如：对于一些网上商城系统的Access数据库，设计者一般命名为shop.mdb、store.mdb等，而存储的路径一般为“URL/data/”或干脆放在根目录（“URL/”）下。这样，只要在浏览器地址栏中敲入地址：“URL/data/store.mdb”，就可以轻易地把shop.mdb下载到本地的机器中。因为Access加密串存储在＊.mdb文件中从地址“＆H42”开始的区域内。通过解密程序可以轻松地得到Access数据库的密码。因此无论即使设置了数据库密码，只要数据库被下载，其信息就没有任何安全性可言了。所以如何有效地防止Access数据库被下载,就成了提高ASP＋Access系统安全性的重中之重。

1.2 防范措施

1）非常规命名法：防止数据库被找到的简便方法是为Access数据库文件起一个非常规的复杂的名字，并把它存放在多层目录下。例如，对于网上商城的数据库文件，起个非常规的名字，例如：mhr4v53h.mdb，再把它放在如：/atncj16t/kgyb61/ahjx5rv 之类的深层目录下。这样，对于通过猜测得到Access数据库文件名并破解的，起到了有效的阻止作用。

2）使用ODBC数据源：在ASP程序设计中，数据库名和路径会出现在ASP源代码中。例如：

可见，即使数据库名字起得再怪异，隐藏的目录再深，ASP源码失密后，数据库也很容易被破解。如果使用ODBC数据源，就不会有这样的问题了，如：conn.open “ODBC－DSN名”。

3）对ASP源码加密：为有效地防止ASP源代码泄露，可以对ASP页面进行加密。一般有两种方法对ASP页面进行加密。一种是使用组件技术将编程逻辑封装入DLL之中；另一种是使用微软的Script Encoder对ASP页面进行加密。一般使用组件技术存在的主要问题是每段代码均需组件化，操作比较烦琐，工作量较大；而使用Script Encoder对ASP页面进行加密，操作简单、收效良好。

2 程序代码漏洞及安全防范

2.1 漏洞分析

asp手工注入漏洞检测：例如网址http://site/hack92.asp?id=1我们在这个地址后面加上单引号’ 然后and 1=1 正确 and 1=2 错误的话就说明存在注入漏洞了。

注入点sa权拿服务器：注入点http://site/hack92.asp?id=1是否存在xp_cmdshell and 1=(select count(*) from master.dbo.sysobjects where xtype = 'x' and name = 'xp_cmdshell')

——用xp_cmdshell执行命令

;exec master..xp_cmdshell"net user name password /add"—

;exec master..xp_cmdshell"net localgroup name administrators /add"—

当然我们可以直接让工具来帮我们搞定。这一类工具有Domain，NBSI,HDSI等等

2.2 防范措施

现在比较流行的SQL注入攻击是通过GET和POST来完成具体的注入。我们可以通过一些判断语句，将注入时所用到的重要符号过滤掉，以达到防止非法注入目的。下面是asp中防止脚本注入攻击代码示例：

3 结论

通过分析我们发现，攻击者不管是通过备份数据库、破解数据库、SQL注入、上传漏洞，其目的就是为了得到管理员的用户名和密码进入后台，得到一个WebShell。如果我们程序、数据库不存在这些漏洞，攻击者前面做的很多事都将会是徒劳的。但网站管理员还要记住，有些时候因密码保管不当，或无意中泄露，也会导致网站系统的安全问题，所以提高密码意识，建立密码管理制度也是保证网站系统安全的重要原则。

[1]赵燕燕.ASP技术在Web数据库开发中的使用[J].河南职工医学院学报，2009，1.

[2]尚俊杰.网络程序设计—ASP.清华大学出版社有限公司，2009，1.

[3]李禹生.ASP实用技术(网络数据库应用系统设计)[M].水利水电出版社，2004，8.

[4]黄爽，郭胜，高平茹.ASP网络程序设计教程[M].清华大学出版社，2007，12.