我正在寻找一种方法来提高一些旧网络应用程序的安全性。他们目前将连接字符串以纯文本形式保存在include.asp 文件中。理想情况下,我正在考虑将这些移动到 web.config 文件并使用 aspnet_regiis.exe 对其进行加密,但这不适用于 Classic ASP。
我浏览了互联网,但找不到任何似乎特别适合此的东西,以前有没有人遇到过同样的问题?
【问题讨论】:
保护您的 include.asp 的最佳方法是在站点上使用匿名身份验证,并确保设置该文件的 NTLM 安全性,以便它只能由 IIS 使用的用户读取。
如果无法做到这一点,您可以通过多种方式混淆字符串,但几乎没有一种是非常安全的,因此您可以避免这些字符串被临时爱管闲事的用户看到,而不是被黑客看到。
您可以像这样使用从您的 .asp 运行的外部加密和加密工具(我使用它来运行 Ruby 脚本并获取结果,替换您执行的命令)
set objWShell = CreateObject("WScript.Shell")
set objCmd = objWShell.Exec("cmd.exe /c c:\Ruby193\bin\ruby.exe d:\inetpub\site\appl\RMW\import\import.rb")
result = objCmd.StdOut.Readall()
errors = objCmd.STDERR.Readall()
set objCmd = nothing
set objWShell = nothing
如果您的操作系统支持,您可以使用Windows Script Encoder,请参阅
【讨论】: