[
会员中心
] [
发布文章
][
发布软件
] [
中文繁體
]
文章
·
资料
电脑软件
手机软件
网站源码
电脑·手机·网络
学习
话题
娱乐
故事
文化·历史
国学典籍
法律法规
操作系统
网络
办公·文件
音频视频
图形图像
硬件·驱动程序
行业
教学学习
编程
游戏
安卓
苹果
鸿蒙
其他
ASP
ASP.NET
JSP
PHP
HTML
·
CSS
·
JavaScript
本 站 搜 索
文章
软件
[选项]
文章类别:
[全部]
电脑·手机·网络
话题
故事
文化·历史
娱乐
学习
法律·法规
国学典籍
搜索选项:
文章编号
文章标题
文章作者
文章来源
相关链接
关键字词
文章标签
文章内容
软件类别:
[全部]
操作系统
网络
办公·文件
音频视频
图形图像
行业
编程
教学学习
游戏
硬件·驱动程序
安卓系统
苹果系统
鸿蒙系统
其他系统
HTML·CSS·JavaScript
ASP
JSP
PHP
ASP.NET
搜索选项:
软件编号
软件名称
软件作者
软件来源
相关链接
关键字词
软件标签
软件简介
发 送 文 章
防止 MDB 数据库被下载
〖
评论()
〗〖
留言
〗〖
收藏
〗
收信地址
填写收信人的电子邮箱
邮件主题
填写邮件主题
邮件内容
在因特网技术飞速发展的今天,人们早已不仅仅满足于由html构建的简单的网叶,因此互动的asp等技术应运而生,而目前使用IIS+ASP+Access是中小型Internet网站的首选方案,但随之而来的安全问题也日益显著,iis漏洞层出不穷,asp代码编写失误等其中最容易被攻击者利用的则莫过于mdb数据库被非法下载了,轻则网站被恶意修改,重则机密资料外泻。 笔者今日参与了朋友网站的建设工作,在对数据库防止下载方面有了一些写的发现,不敢独享,写出来以舐读者。 一般情况下基于mdb构建的网站程序和论坛其数据库的扩展名默认为mdb,这是很危险的,只要猜测除了数据库文件的位置,然后在浏览器的地址栏里面输入他的url就可以轻易的下载。就算我们对数据库加上了密码并且里面管理员得密码也被md5加密,被下载到本地以后也是很容易被破解得,数据库得加密方法仅仅进行了一次异或运算,我们可以通过很小得程序就可以得到密码,而md5密码破解工具在网络上也是遍地都是!因此只要数据库被下载了,那数据就没有丝毫安全性可言了。 下面这副图片就是成功下载数据库admin.mdb后,随意查看到的管理员的用户名和密码信息!可以直接看到lovewin2k和冰凌尘埃的密码分别为jiangxueguang和hackerandhacker,下面就可以登陆进入网站管理页面为所欲为了! 一面就是被恶意修改后的网页!而最恐怖的是这些操作不需要什么黑客知识,仅仅是会点击鼠标和按键盘就可以搞定!下面两副图就是被人恶意修改后的网页截图! 目前常用的数据库文件防止被非法下载得方法莫过于一下几种方法: 1:把数据库的名字进行修改,并且放到很深得目录下面比如把数据库修改为gj6gf5.mdb并且把他放到很深得目录下面比如/data/me/cn/da/mdb/下面,黑客通过简单得猜测数据库的位置就很难了……。但是如果asp文件泄漏那无论隐藏多深都没有用了。 2.把数据库的扩展名修改为asp或者asa等不影响数据查询的名字。但是不知道什么原因有时候修改为asp或者asa以后仍然可以被下载……。比如我们将其修改为asp以后,直接在ie的地址栏里输入他的地址,虽然没有提示下载但是却在浏览器里出现了一大片乱码。这样的情况如果使用flashget等下载工具就可以直接被下载回来。 3.以下摘自网络“ 使用ODBC数据源。在ASP程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密,例如: DBPath=Server.MapPath(“./akkt/kj61/acd/av5/faq9jl.mdb”) conn.open“driver={MicrosoftAccessDriver(*.mdb)};dbq=”DBPath 可见,即使数据库名字起得再怪异,隐藏的目录再深,ASP源代码失密后,也很容易被下载下来。如果使用ODBC数据源,就不会存在这样的问题了: conn.open“ODBC-DSN名”” 我测试过程中就遇到了asp和asa文件也会被下载的问题,所以经过研究衍生出了一下的方法…… 如果在给数据库的文件命名的时候。数据库文件命名为#admin.asa则可以完全避免用ie下载,但是如果黑客猜测到了数据库的路径等,用flashget就可以成功的下载回来,然后改名为admin.mdb就ok了……,所以我们要有一种flashget无法下载的方法,但是如何才能让他无法下载呢? 不知道大家是否记得很久以前的UNICODE漏洞?有关漏洞的原理,网上已经有很多文章介绍了,这里不大算详细说,简单的说说unicode编码就可以了。下面是一些unicode编码的对照表: 等于%3C,等于%3E,/等于%2F,\等于%5C,=等于%3D,+等于%2B,(等于%28,)等于%29,#等于%23,等于%24,^等于%5E,等于%26,等于%22,|等于%7C,;等于%3B,‘等于%27,:等于%3A,?等于%3F,,等于%2C,~等于%7E,!等于%21 这里没有利用unicode漏洞,仅仅利用了unicode漏洞的编码,比如可以利用%3C代替等等,但是网站在处理包含unicode码的的链接的时候将会不予处理……,大概是因为以前受到unicode漏洞攻击的缘故,都不允许这样的链接请求。 而flashge在处理包含uncode码的链接的时候却自作聪明的把unicode编码做了对应的处理,比如自动把“%28”这一段unicode编码形式的字符转化为了“(”,所以你向flashget提交一个http://127.0.0.1/xweb/data/%29xadminsxx.mdb的下载链接,它却解释成了http://127.0.0.1/xweb/data/(xadminsxx.mdb,如图一,看看我们上面的网址的地方和下面的重命名的地方是不同的,flashget自作聪明的把%29xadminsxx.mdb解释为了)xadminxx.mdb,当我们点击确定进行下载的时候,他就去寻找一个名为)xadminxx.mdb的文件了……(也就是说flashget被我们给引入了歧途。)他当然找不到。所以提示下载失败了^_^。 由此我们可以另衍生出一种防范的方法,既然flashget去找那个名为)xadminxx.mdb的文件了,我们可以给他准备一个呀^_^,我们给他作一个仿真的数据库名为)xadminxx.mdb,这样当入侵者想下载文件的时候的的确确的下载了一个数据库回去,他们肯定会偷偷的笑,实际上偷偷笑的是我们。里面的数据都是假的,如果他下载回去的是新闻数据库,他们没有仔细检查就用在了自己的网站上面^_^里面的假新闻可够他受了……。如果是假的商业机密数据库呢?哈哈!让他们哭去吧<br /><br />文章网址:<a href="https://dangbai.cn/Article.asp?ID=10001213" target="_blank">https://dangbai.cn/Article.asp?ID=10001213</a>
填写邮件内容
发信地址
填写发信人的电子邮箱
邮件签名
填写邮件签名
验证码
填写验证码,单击刷新验证码
程序执行中,请稍候...
发送协议
·欢迎使用本站在线文章发送系统。
·不得使用本站在线发送邮件系统发送垃圾邮件、广告邮件。
·如果收信人地址或其服务器出现错误,可能无法成功发送。
·如果有什么问题,或者意见建议,请联系[
网站管理员
]。
当百网
本站使用【啊估文章软件站】网站系统
〖
网站管理员留言簿
〗
本 站 搜 索
发 送 文 章
程序执行中,请稍候...
