| [文章分类:电脑·手机·网络 / 网站设计·开发·优化][阅读选项] |
|
在因特网技术飞速发展的今天,人们早已不仅仅满足于由html构建的简单的网叶,因此互动的asp等技术应运而生,而目前使用IIS+ASP+Access是中小型Internet网站的首选方案,但随之而来的安全问题也日益显著,iis漏洞层出不穷,asp代码编写失误等其中最容易被攻击者利用的则莫过于mdb数据库被非法下载了,轻则网站被恶意修改,重则机密资料外泻。
笔者今日参与了朋友网站的建设工作,在对数据库防止下载方面有了一些写的发现,不敢独享,写出来以舐读者。
一般情况下基于mdb构建的网站程序和论坛其数据库的扩展名默认为mdb,这是很危险的,只要猜测除了数据库文件的位置,然后在浏览器的地址栏里面输入他的url就可以轻易的下载。就算我们对数据库加上了密码并且里面管理员得密码也被md5加密,被下载到本地以后也是很容易被破解得,数据库得加密方法仅仅进行了一次异或运算,我们可以通过很小得程序就可以得到密码,而md5密码破解工具在网络上也是遍地都是!因此只要数据库被下载了,那数据就没有丝毫安全性可言了。
下面这副图片就是成功下载数据库admin.mdb后,随意查看到的管理员的用户名和密码信息!可以直接看到lovewin2k和冰凌尘埃的密码分别为jiangxueguang和hackerandhacker,下面就可以登陆进入网站管理页面为所欲为了!
一面就是被恶意修改后的网页!而最恐怖的是这些操作不需要什么黑客知识,仅仅是会点击鼠标和按键盘就可以搞定!下面两副图就是被人恶意修改后的网页截图!
目前常用的数据库文件防止被非法下载得方法莫过于一下几种方法:
1:把数据库的名字进行修改,并且放到很深得目录下面比如把数据库修改为gj6gf5.mdb并且把他放到很深得目录下面比如/data/me/cn/da/mdb/下面,黑客通过简单得猜测数据库的位置就很难了……。但是如果asp文件泄漏那无论隐藏多深都没有用了。
2.把数据库的扩展名修改为asp或者asa等不影响数据查询的名字。但是不知道什么原因有时候修改为asp或者asa以后仍然可以被下载……。比如我们将其修改为asp以后,直接在ie的地址栏里输入他的地址,虽然没有提示下载但是却在浏览器里出现了一大片乱码。这样的情况如果使用flashget等下载工具就可以直接被下载回来。
3.以下摘自网络“
使用ODBC数据源。在ASP程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密,例如:
DBPath = Server.MapPath(“./akkt/kj61/acd/av5/faq9jl.mdb ”)
conn.open “driver={Microsoft Access Driver (*.mdb)};dbq=”& DBPath
可见,即使数据库名字起得再怪异,隐藏的目录再深,ASP源代码失密后,也很容易被下载下来。如果使用ODBC数据源,就不会存在这样的问题了:
conn.open “ODBC-DSN名” ”
我测试过程中就遇到了asp和asa文件也会被下载的问题,所以经过研究衍生出了一下的方法……
如果在给数据库的文件命名的时候。数据库文件命名为#admin.asa则可以完全避免用ie下载,但是如果黑客猜测到了数据库的路径等,用flashget就可以成功的下载回来,然后改名为admin.mdb就ok了……,所以我们要有一种flashget无法下载的方法,但是如何才能让他无法下载呢?
不知道大家是否记得很久以前的UNICODE漏洞?有关漏洞的原理,网上已经有很多文章介绍了,这里不大算详细说,简单的说说unicode编码就可以了。下面是一些unicode编码的对照表:
<等于%3C, >等于%3E, /等于%2F, \等于%5C, =等于%3D, +等于%2B, (等于%28 ,)等于%29, #等于%23, 等于%24, ^等于%5E ,&等于%26, 等于%22 ,|等于%7C, ;等于%3B, ‘等于%27, :等于%3A ,?等于%3F, ,等于%2C, ~等于%7E ,!等于%21
这里没有利用unicode漏洞,仅仅利用了unicode漏洞的编码,比如可以利用%3C代替<等等,但是网站在处理包含unicode码的的链接的时候将会不予处理……,大概是因为以前受到unicode漏洞攻击的缘故,都不允许这样的链接请求。
而flashge在处理包含uncode码的链接的时候却自作聪明的把unicode编码做了对应的处理,比如自动把“%28”这一段unicode编码形式的字符转化为了 “(”,所以你向flashget提交一个http://127.0.0.1/xweb/data/%29xadminsxx.mdb的下载链接,它却解释成了http://127.0.0.1/xweb/data/(xadminsxx.mdb,如图一,看看我们上面的网址的地方和下面的重命名的地方是不同的,flashget自作聪明的把%29xadminsxx.mdb 解释为了)xadminxx.mdb,当我们点击确定进行下载的时候,他就去寻找一个名为)xadminxx.mdb的文件了……(也就是说flashget被我们给引入了歧途。)他当然找不到。所以提示下载失败了^_^。
由此我们可以另衍生出一种防范的方法,既然flashget去找那个名为)xadminxx.mdb的文件了,我们可以给他准备一个呀^_^,我们给他作一个仿真的数据库名为)xadminxx.mdb,这样当入侵者想下载文件的时候的的确确的下载了一个数据库回去,他们肯定会偷偷的笑,实际上偷偷笑的是我们。里面的数据都是假的,如果他下载回去的是新闻数据库,他们没有仔细检查就用在了自己的网站上面^_^里面的假新闻可够他受了……。如果是假的商业机密数据库呢?哈哈!让他们哭去吧
|
| 文章作者:未知 更新日期:2006-09-10 |
| [文章浏览:][打印文章][发送文章] |
|
|
|
