请问这个简单公文发布系统的安全性？(100分)

R

raider

Unregistered / Unconfirmed

GUEST, unregistred user!

• 1999-12-28

• #1

这样一个网站，主要是在WEB上发表学校内部的公文，我想一般也不会有人
动它，没有意义，主要是怕学生们用来测试自己的水平。
1。nt4.0 + sp5 + iis4 + asp;
2. asp所在目录的权限为禁止读取
3。该服务器为单独web服务器，不做它用
4。按用户要求，数据库用access的mdb（为了方便），放在非web目录下
在asp中通过odbc 连接
5。用户等分成3个级别，用来查看不同档次的公文。在登录密码后，
用Seesion中的变量登记级别
6。除了输入密码，没有提供别的用户输入信息的地方
请问，这样的东西，一般的人是否可以把mdb下载或更改？如果知道
odbc的dsn名称，是否能更改？有没有办法越权查看？
在不添加防火墙的前提下，怎样提高安全性？（太大了些吧）
多谢！

 

W

www

Unregistered / Unconfirmed

GUEST, unregistred user!

• 1999-12-28

• #2

如果mdb在你发布的目录中,则有可能被直接down下来.

 

阿

阿蒙

Unregistered / Unconfirmed

GUEST, unregistred user!

• 1999-12-28

• #3

而且 IIS 就有漏洞。我想学生不会这莫干的。我就是学生吗。才不黑如此没名气的
地方

 

E

Energy

Unregistered / Unconfirmed

GUEST, unregistred user!

• 1999-12-28

• #4

不要使用rds,对数据库采用加密方案就是至少是使用一个非缺省的系统数据库，
并且删除Admin帐号和Administrator组。至少想法禁止其他机器读mdb所在数据库。

 

W

www

Unregistered / Unconfirmed

GUEST, unregistred user!

• 1999-12-29

• #5

>不要使用rds
说的没错，
用rds的话你的源程序等于摆在用户面前，想怎么改就怎么改。

 

P

peterwang

Unregistered / Unconfirmed

GUEST, unregistred user!

• 1999-12-29

• #6

what's the 'rds'?

 

H

hntangwei

Unregistered / Unconfirmed

GUEST, unregistred user!

• 1999-12-29

• #7

要想安全的话，你可以把数据的存取用delphi写成一个com
然后在服务器上注册。具体的用法可以找书或跟我联系。
在服务器的asp中，用server.createobject来创建数据存取
的com。就不用怕有人知道dns了。另外，不是access吗?
有d5吗?用ado的Jet连接。把数据文件放在一个不会共享的目录，
就ok了.

 

C

CJ

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2000-01-01

• #8

RDS Stands for Remote Data Access. MS's n-tier solusion

 

R

raider

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2000-01-29

• #9

多人接受答案了。