作者:文锋仔- | 来源:互联网 | 2023-09-13 21:28
为有效地防止ASP源代码泄露,怎么可以对ASP页面进行加密。听说可以使用微软的ScriptEncoder对ASP页面进行加密,但我下载以后安装,不知道怎么使用,各位大侠能否指教一下,或者有什么好的办
为有效地防止ASP源代码泄露,怎么可以对ASP页面进行加密。听说可以使用微软的Script Encoder对ASP页面进行加密,但我下载以后安装,不知道怎么使用,各位大侠能否指教一下,或者有什么好的办法可以对ASP页面进行加密。
4 个解决方案
保护ASP脚本的源代码
Active Server Page(简称ASP)技术为应用开发商提供了基于脚本的直观、快速、高效的应用开发手段,极大地提高了开发的效率。但由于ASP脚本是采用明文(Plain Text)方式来编写的,所以应用开发商辛辛苦苦开发出来的ASP应用程序,一旦发布到运行环境中去后,就很难确保这些“源代码”不会被有意或无意地“流传”出去,无法实现对知识产权的保障。这样就产生了如何有效地保护开发出来的ASP脚本源代码的需求。本文将就如何有效地保护开发出来的ASP脚本的源代码的思路和方法进行了基本的分析和展示。
■ASP的运行机制■
我们先来分析一下ASP的运行机制:首先,ASP脚本是一系列按特定语法(目前支持Vbscript和Jscript两种脚本语言)编写的、与标准HTML页面混合在一起的脚本所构成的文本格式的文件。当客户端的最终用户用Web浏览器通过Internet/Intranet来访问基于ASP脚本的应用时,Web浏览器将向Web服务器发出HTTP/HTTPS请求。Web服务器分析、判断出该请求是ASP脚本的应用后,自动通过ISAPI接口调用ASP脚本的解释运行引擎(ASP.DLL)。ASP.DLL将从文件系统或内部缓冲区获取指定的ASP脚本文件,接着就进行语法分析并解释执行。最终的处理结果将形成HTML格式的内容,通过Web服务器“原路”返回给Web浏览器,由Web浏览器在客户端形成最终的结果呈现。这样就完成了一次完整的ASP脚本调用。若干个有机的ASP脚本调用就组成了一个完整的ASP脚本应用。
■思路与方法■
根据ASP脚本的原理,我们就可以提出以下几种保护ASP脚本源代码的思路:
1)“脚本最小化”:即ASP文件中只编写尽可能少的源代码,实现商业逻辑的脚本部分被封装到一个COM/DCOM组件,并在ASP脚本中创建该组件,进而调用相应的方法(Method)即可。应用开发者在动手开发ASP脚本应用之前就可按此思路来开发,或直接用ASP脚本快速开发出原型系统后,针对需要保护、加密的重要的部分脚本用COM/DCOM组件来重新开发、实现并替换。
2)“脚本加密”:即ASP脚本仍直接按源代码方式进行开发,但在发布到运行环境之前将脚本进行加密处理,只把加密后的密文脚本发布出去。要实现这种方法,就要在ASP.DLL读取脚本这个环节加入密文还原的处理。
实现这种思路的方法主要有两种:方法一是自行开发一个ISAPI的IIS过滤(Filter)模块,在ASP.DLL之前钩连(Hook)对ASP脚本文件的读取,以便把从文件系统读出的密文还原成ASP.DLL可以解释的明文;方法二就是直接由ASP.DLL提供对ASP脚本加密处理的支持。微软在新版本的Vbscript.DLL和JScript.DLL中提供这种称为Microsoft Script Encode技术的支持。这样,无论是客户端的Vbscript或Jscript(包括WSH脚本等),还是服务器端的Vbscript或Jscript(即ASP脚本)都可以支持加密处理。
Microsoft Script Encode技术具体的实现思路包括以下两个方面:一是加密过程,通过提供一个实用程序对包含ASP脚本源代码的文本文件进行扫描,找出其中标记为“〈SCRIPT LANGUAGE=″Vbscript″〉”或“〈SCRIPT LANGUAGE=″JScript″〉”的脚本部分,进行加密处理并替换为密文后,将该标志相应地改为“〈SCRIPT LANGUAGE=″Vbscript.Encode″〉”或“〈SCRIPT LANGUAGE=″JScript.Encode″〉”;二是还原过程,IE浏览器或ASP.DLL等执行脚本时是统一通过Vbscript.DLL或JScript.DLL来进行解释执行的,所以它们都能同时地、透明地支持明文和密文的脚本!
总之,如果采用第一种思路,要么就自行在开发过程中遵照进行,要么可以考虑选择自动转换成Visual Basic编译代码的通用的、实用工具;采用第二种思路的话,要么就自行开发IIS ISAPI过滤模块,要么可以考虑直接采用Microsoft Script Encoder软件。
■实例■
从微软公司站点免费下载到sce10en.exe(英文版)或sce10chs.exe(简体中文版)之后,直接运行之即可完成安装过程。安装完毕之后,将生成一个screnc.exe可执行文件,这是一个运行在DOS Prompt的命令行工具。
假设我们现在有如下的一个ASP脚本文件要进行加密:
我们可以在DOS Prompt下运行screnc-l Vbscript aa.asp bb.asp〈Enter〉来生成包含密文ASP脚本的新文件bb.asp,其中的运行参数-l Vbscript是用来显式指明是Vbscript语法。
加密后的结果如下:
这里大家可能已经注意到了,所有的英文字符,只要是在“〈%”和“%〉”之内的,不管是否是注解,都变成了不可阅读的密文了,但中文却没有进行变换?!不过,这一点对其可用性来说应该还是可以接受的。
SCRENC [/s] [/f] [/xl] [/l defLanguage ] [/e defExtension] inputfile outputfile
脚本加密程序语法的组成部分如下:
部分 描述
/s 可选的。 开关,它指定脚本加密程序的工作状态是静态的,即产生无屏幕输出。如省略,缺省为提供冗余输出。
/f 可选的。指定输入文件将被输出文件覆盖。 注意,该选项会破坏您原来的输入源代码。如省略,输出文件不会被覆盖。
/xl 可选的。指定不把 @language 伪指令添加到 .ASP 文件顶部。如省略,@language 指令添加到所有的 .ASP 文件中。
/l defLanguage 可选的。指定在加密过程中使用的缺省脚本编写语言 (JScript? 或 Vbscript)。被加密文件中的脚本块如不包含语言属性,即被认为是由指定语言写成。 如省略,JScript 是 HTML 页和脚本小程序的缺省语言,Vbscript 是动态网页的缺省语言。对于普通文本文件,由文件扩展名 ( .js 或 .vbs)决定缺省脚本编写语言。
/e defExtension 可选的。把输入文件与一个特定的文件类型相关联。当输入文件的扩展名不能明显显示出文件的类型时,即,当输入文件扩展名不是可识别的扩展名,但文件内容又可以归为可识别的类型时,使用该开关。该选项无缺省值。如果遇到一个带不可识别的扩展名的文件,且该选项未被指定,则脚本加密程序不能处理该不可识别的文件。可识别的文件扩展名有 asa、asp、cdx、htm、html、js、sct和 vbs。
inputfile 必需的。要被加密的文件名称,包括相对于当前目录的任何需要的路径信息。
outputfile 必需的。要生成的输出文件的名称,包括相对于当前目录的任何需要的路径信息。