我正在寻找一种方法来提高某些旧版网络应用的安全性。他们目前的连接字符串以纯文本形式保存在include.asp文件中。理想情况下,我考虑将这些文件移动到web.config文件并使用aspnet_regiis.exe加密,但这不适用于Classic ASP。
我已经浏览过互联网,但找不到任何适合这种情况的东西,有没有人遇到过同样的问题?
答案 0 :(得分:0)
保护include.asp的最佳方法是在站点上使用匿名身份验证,并确保设置该文件的NTLM安全性,以便IIS只能由用户读取它。
如果不可能,你可以通过多种方式对字符串进行模糊处理,但几乎没有一种方法会非常安全,因此你可以避免偶然的爱管闲事的用户看到这些字符串,而不是黑客。
您可以使用外部加密和加密从.asp运行的工具(我使用它运行Ruby脚本并获取结果,替换您执行的命令)
set objWShell = CreateObject("WScript.Shell")
set objCmd = objWShell.Exec("cmd.exe /c c:\Ruby193\bin\ruby.exe d:\inetpub\site\appl\RMW\import\import.rb")
result = objCmd.StdOut.Readall()
errors = objCmd.STDERR.Readall()
set objCmd = nothing
set objWShell = nothing
如果您的操作系统支持,您可以使用Windows Script Encoder,请参阅