编码及加密。 首先在选取"工具->安全->加密/解密 数据库,选取数据库(如:employer.mdb) ,然后接确定,接着会出现"数据库加密后另 存为"的窗口,存为:employer1.mdb。接着 employer.mdb 就会被编码,然后存为
employer1.mdb..要注意的是,以上的动作并不是对数据库设置密码,而只是对数据库文 件加以编码,目的是为了防止他人使用别的工具来查看数据库文件的内容。 接下来我们为
数据库加密,首先以打开经过编码了的 employer1.mdb,在打开时, 选择"独占"方式。然后选取功能表的"工具->安全->设置数据库密码",接着输入密码即 可。为 employer1.mdb 设置密码之后,接下来如果再使用 ACCEES 数据库文件时,则 ACCESS 会先要求输入密码,验证正确后才能够启动数据库。不过要在 ASP 程序中的 connection 对象的 open 方法中增加 PWD 的参数即可,例如: param="driver={Microsoft Access Driver (*.mdb)};Pwd=yfdsfs" param=param&;";dbq="&;server.mappath("employer1.mdb") conn.open param 这样即使他人得到了 employer1.mdb 文件,没有密码他是无法看到 employer1.mdb 的。 3 code.asp 文件会泄漏 ASP 代码 问题描述: 举个很简单的例子,在微软提供的 ASP1.0 的例程里有一个 .asp 文件 ,专门用 来查看其它 .asp 文件的
源代码,该文件为 ASPSamp/Samples/code.asp。如果有人把这 个程序上传到服务器, 而服务器端没有任何防范措施的话, 他就可以很容易地查看他人 的程序。例如 : code.asp?source=/directory/file.asp 不过这是个比较旧的漏洞了,相信现在很少会出现这种漏洞。 下面这命令是比较新的: someurl/iissamples/exair/howitworks/code.asp?/lunwen/soushuo.asp=xxx.asp 最大的危害莫过于 asa 文件可以被上述方式读出; 数据库密码以明文形式暴露在黑 客眼前; 问题解决或建议: 对于 IIS 自带的 show asp code 的 asp 程序文件, 删除该文件或者禁止访问该目录即 可 4、filesystemobject 组件篡改下载 fat 分区上的任何文件的漏洞 问题描述: IIS3、 IIS4 的 ASP 的文件操作都可以通过 filesystemobject 实现,包括文本文件 的读写目录操作、文件的拷贝改名删除等,但是这个强大的功能也留下了非常危险的 " 后门"。利用 filesystemobjet 可以篡改下载 fat 分区上的任何文件。即使是 ntfs 分区, 如果权限没有设定好的话,同样也能破坏,一不小心你就可能遭受"灭顶之灾 "。遗憾 的是很多 webmaster 只知道让
web 服务器运行起来, 很少对 ntfs 进行权限 设置, 而 NT 目录权限的默认设置偏偏安全性又低得可怕。因此,如果你是 Webmaster ,建议 你密切关注服务器的设置, 尽量将 web 目录建在 ntfs 分区上, 目录不要设定 everyone full control,即使是是管理员组的成员一般也没什么必要 full control,只要有读取、更 改权限就足够了。 也可以把 filesystemobject 的组件删除或者改名。
5、输入标准的 HTML 语句或者 javascript 语句会改变输出结果 问题描述: 在输入框中打入标准的 HTML 语句会得到什么相的结果呢? 比如一个留言本,我们留言内容中打入:
你好!
如果你的 ASP 程序中没有屏蔽 html 语句,那么就会改变"你好"字体的大小。在留 言本中改变字体大小
和贴图有时并不是什么坏事, 反而可以使留言本生动。 但是如果在 输入框中写个 javascript 的死循环,比如:特大新闻 那么其他查看该留言的客人只要移动鼠标到"特大新闻", 上就会使用户的浏览器因 死循环而死掉。 解决方法和建议: 编写类似程序时应该做好对此类操作的防范, 譬如可以写一段程序判断客户端的输 入,并屏蔽掉所有的 HTML、
Javascrip