• Vista中IIS的权限问题 - [开发手记]

    Tag:IIS ASP Access Vista     2008-03-10

      XP中的IIS设置是非常简单的,在2003中常常会出现问题的也就是父路径的启用,但是在Vista中,IIS的管理界面和方式有了很大的差别,出现的问题也就多了起来,最典型的就是权限问题,特别是ASP与Access的访问。

    Vista中IIS的安装

       和XP类似,在Vista中除了Home版以外,其他的版本都集成了IIS,且升级到了IIS 7.0。但是在默认安装情况下,IIS服务都没有开启,需要重新开启。开启的方法很简单,只需要按照以下步骤即可:

     “开 始” => “控制面板” => “程序和功能”,选择“打开或关闭Windows功能”。如果Windows Vista没有关闭UAC, 则会弹出提示信息,确认并继续; 果仅需要IIS 7.0支持静态内容,可直接选中“Internet信息服务”,如果希望 Web 服务器支持动态内容,则需展开“万维网服务”分支,将 所需的选项全部选中; 点击“确定”,Windows Vista即启动IIS的安装过程;安装过程结束后,就可以在浏览器里输入:http://localhost/ 进行测试。

    MrYang 发表于09:57:35 | 阅读全文 | 评论 0 | 编辑 | 推荐

  • 网络程序设计的安全性问题考虑 - [开发手记]

    Tag:网络安全 MD5 SQL Access     2005-11-16

    在写网络程序时,很多时候都没有考虑到程序设计的安全性,自己的网站也几次被人黑过,还好没有造成较大的损失,近日来想了一下这个问题,也看了几篇文章,在这里简单谈一下。

    我这里谈的安全性是指在程序设计中考虑的安全性,更程序运行的环境无关,也就是跟服务器系统的安全性无关。

    一、用户认证安全问题
    在很多网络程序中,用户登录的认证都必不可少,对于采取的认证方式和用户密码的保密都回带来安全漏洞。
    首先来说说密码问题,密码的保护是重要安全问题,很多的密码仍然是以明文的的方式存放在数据库中的,这样的密码存放方式很显然是不安全的,现在常用的方式将密码用MD5加密,然后将密码的密文存放在数据库中,在认证时取得用户提交的密码,通过MD5加密后的密文与存放的密码密文比较,以此来验证用户,可以保护密码,即使让人知道密文,因为MD5加密是单向的,也不会得到密码。
    虽然保存的密码是密文,但是对于用户提交的密码在从浏览器传输到服务器的这一过程中,用户密码是明文的,如果这段信息被人窃取,密码也就被人知道了,所以一种解决方法就是在浏览器上用户提交密码后通过 JavaScript的MD5加密程序将用户密码加密程密文后传输,这样就可以保证密码在传输过程中的安全性。但是在一些浏览器上这样的 JavaScript脚本可能会被禁止或是不能正常地运行,因此我们也可以采用另外的方法,在提交的用户密码中加入一些干扰码,让用户密码和干扰码一体提交到服务器上,然后在服务器上在除掉干扰码(或者存放在数据中的密文也是有用户密码和干扰码通过MD5加密后的密文),这样在传输过程中的用户密码就不再明文的了。通过这些方法,能够进一步的保证用户认证的安全性。

    上述的方法只是解决了密码的保护问题,密码的破解也可以通过试探来完成,也就是使用程序不断的组成密码来登录,如果时间够长,密码是可以被试出来的,为了防止这种情况,出现了验证码,也就是在用户登录时除了用户名和密码外,还需要输入验证码,验证码是随机生成的,不会重复,而且验证码不能用文本的方式显示,因为文本很容易会被程序识别,而且最好是不规则的图形,在背景上再加上一些杂色或杂点干扰,这样就不会被程序很容易识别。这些图片都是程序运行时才生成的。

    另外,在验证用户密码时还应考虑到用户密码中的特殊字符,比如用户名和密码中如果有单引号,也会有安全问题。
    比如,在验证用户时采用的SQL语句是:
    Select * From UserInfo Where UserName=’”&Request.Form(”UserName”)&”‘ and PassWord=’”&Request.Form(”PassWord”)&”‘
    如果我在用户名和密码中输入的是:tttt’ or ‘1=1,那么,我最终在执行的SQL语句就变成了:
    程序代码: [ 复制代码到剪贴板 ]
    Select * From UserInfo Where UserName=’tttt’ or ‘1=1′ and PassWord=’tttt’ or ‘1=1′
    这样的SQL语句就会取得用户表中的第一个用户作为登录用户,如果第一个用户是超级用户,那么……
    解决的方法可以将上面的SQL语句改成:
    Select * From UserInfo Where UserName=’”&Request.Form(”UserName”)&”‘
    再查询出有这个用户名后,在来认证密码是否一致,可以避免这一情况。初次之外,就是在接受到用户名和密码后,判断是否有单引号,如果有,则提示。

    二、Access数据库的安全问题
    因为Access数据库是文件方式的,所以我们只要知道这个数据的名称和存放的路径,我们就可以得到这个数据库,比如数据库名称为 myData.mdb,存放在网站的MyData目录下,那么通过htto://www.yourhost.com/MyData/myDat.mdb就可以得到这个数据库,数据的安全得不到保证。
    解决的方法很简单,更改Access数据库的扩展名,比如改称MyData.asp或MyData.asa,这样即使知道文件名和存放路径,也没办法得到这个数据库。

    以上是暂时想到的一些安全问题,只是个人意见。

    MrYang 发表于21:31:00 | 阅读全文 | 评论 0 | 编辑 | 推荐
共1页 1