[会员中心]  [发布文章][发布软件]  [中文繁體] 
 文章·资料  电脑软件  手机软件  网站源码
   本 站 搜 索
[选项]
   推 荐 文 章       More...
华硕易电脑(ASUS Eee PC 1025C)驱动程序(Windows XP)安装参考(图) 华硕易电脑(ASUS Eee PC 1025C..
先来段开场白:为了外出携带方便..
Acronis True Image 使用说明 Acronis True Image 使用说明
  一款可以在Windows下使用..
Norton Ghost 使用详解 Norton Ghost 使用详解
一、分区备份   使用Ghost..
   阅 读 排 行
Windows 系统安装或备份时 ISO,GHO,WIM,ESD,PMF 都是什么文件类型 Windows 系统安装或备份时 ISO,GH..
【ISO 文件】 ISO 文件其实就..
使用“自动点击器”APP 在抖音直播间自动点赞 使用“自动点击器”APP 在抖音直..
看过抖音直播的朋友都知道,进入..
OPPO 手机的锁屏时间设置成横向显示 OPPO 手机的锁屏时间设置成横向..
第一次使用 OPPO 手机,桌面和锁..
电脑机箱(主板)前面板 USB 数据线的接线参考(图) 电脑机箱(主板)前面板 USB 数据..
  一、概述   因为每个 US..
抖音直播录屏的草稿保存位置 抖音直播录屏的草稿保存位置
抖音直播录屏,保存为“草稿”后,..
微信收到 flv 格式视频,如何播放? 微信收到 flv 格式视频,如何播放?
  微信上收到一个 flv 格式视频..
TrustAsia/DigiCert/Let s Encrypt 的免费 SSL 证书,多款网页浏览器都无法正常打开 TrustAsia/DigiCert/Let s Encryp..
云服务器安装了 Windows Server 2..
三星打印机(SCX-4521)提示“墨粉不足”设置 三星打印机(SCX-4521)提示“墨粉..
  三星打印机(SCX-4521)在添加..
文 章 信 息
防止 MDB 数据库被下载
评论()][留言][收藏
[文章分类:电脑·手机·网络 / 网站设计·开发·优化][阅读选项
在因特网技术飞速发展的今天,人们早已不仅仅满足于由html构建的简单的网叶,因此互动的asp等技术应运而生,而目前使用IIS+ASP+Access是中小型Internet网站的首选方案,但随之而来的安全问题也日益显著,iis漏洞层出不穷,asp代码编写失误等其中最容易被攻击者利用的则莫过于mdb数据库被非法下载了,轻则网站被恶意修改,重则机密资料外泻。 

  笔者今日参与了朋友网站的建设工作,在对数据库防止下载方面有了一些写的发现,不敢独享,写出来以舐读者。 

一般情况下基于mdb构建的网站程序和论坛其数据库的扩展名默认为mdb,这是很危险的,只要猜测除了数据库文件的位置,然后在浏览器的地址栏里面输入他的url就可以轻易的下载。就算我们对数据库加上了密码并且里面管理员得密码也被md5加密,被下载到本地以后也是很容易被破解得,数据库得加密方法仅仅进行了一次异或运算,我们可以通过很小得程序就可以得到密码,而md5密码破解工具在网络上也是遍地都是!因此只要数据库被下载了,那数据就没有丝毫安全性可言了。 

  下面这副图片就是成功下载数据库admin.mdb后,随意查看到的管理员的用户名和密码信息!可以直接看到lovewin2k和冰凌尘埃的密码分别为jiangxueguang和hackerandhacker,下面就可以登陆进入网站管理页面为所欲为了!  

  一面就是被恶意修改后的网页!而最恐怖的是这些操作不需要什么黑客知识,仅仅是会点击鼠标和按键盘就可以搞定!下面两副图就是被人恶意修改后的网页截图!  

目前常用的数据库文件防止被非法下载得方法莫过于一下几种方法: 

  1:把数据库的名字进行修改,并且放到很深得目录下面比如把数据库修改为gj6gf5.mdb并且把他放到很深得目录下面比如/data/me/cn/da/mdb/下面,黑客通过简单得猜测数据库的位置就很难了……。但是如果asp文件泄漏那无论隐藏多深都没有用了。 

  2.把数据库的扩展名修改为asp或者asa等不影响数据查询的名字。但是不知道什么原因有时候修改为asp或者asa以后仍然可以被下载……。比如我们将其修改为asp以后,直接在ie的地址栏里输入他的地址,虽然没有提示下载但是却在浏览器里出现了一大片乱码。这样的情况如果使用flashget等下载工具就可以直接被下载回来。 

  3.以下摘自网络“ 
  使用ODBC数据源。在ASP程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密,例如:  
DBPath = Server.MapPath(“./akkt/kj61/acd/av5/faq9jl.mdb ”)  
conn.open “driver={Microsoft Access Driver (*.mdb)};dbq=”& DBPath  
可见,即使数据库名字起得再怪异,隐藏的目录再深,ASP源代码失密后,也很容易被下载下来。如果使用ODBC数据源,就不会存在这样的问题了:  
  conn.open “ODBC-DSN名” ”  
  我测试过程中就遇到了asp和asa文件也会被下载的问题,所以经过研究衍生出了一下的方法…… 
  如果在给数据库的文件命名的时候。数据库文件命名为#admin.asa则可以完全避免用ie下载,但是如果黑客猜测到了数据库的路径等,用flashget就可以成功的下载回来,然后改名为admin.mdb就ok了……,所以我们要有一种flashget无法下载的方法,但是如何才能让他无法下载呢? 
   
  不知道大家是否记得很久以前的UNICODE漏洞?有关漏洞的原理,网上已经有很多文章介绍了,这里不大算详细说,简单的说说unicode编码就可以了。下面是一些unicode编码的对照表: 
   
  <等于%3C, >等于%3E, /等于%2F, \等于%5C, =等于%3D, +等于%2B, (等于%28 ,)等于%29, #等于%23, 等于%24, ^等于%5E ,&等于%26, 等于%22 ,|等于%7C, ;等于%3B, ‘等于%27, :等于%3A ,?等于%3F, ,等于%2C, ~等于%7E ,!等于%21  
   
这里没有利用unicode漏洞,仅仅利用了unicode漏洞的编码,比如可以利用%3C代替<等等,但是网站在处理包含unicode码的的链接的时候将会不予处理……,大概是因为以前受到unicode漏洞攻击的缘故,都不允许这样的链接请求。 
   
而flashge在处理包含uncode码的链接的时候却自作聪明的把unicode编码做了对应的处理,比如自动把“%28”这一段unicode编码形式的字符转化为了 “(”,所以你向flashget提交一个http://127.0.0.1/xweb/data/%29xadminsxx.mdb的下载链接,它却解释成了http://127.0.0.1/xweb/data/(xadminsxx.mdb,如图一,看看我们上面的网址的地方和下面的重命名的地方是不同的,flashget自作聪明的把%29xadminsxx.mdb  解释为了)xadminxx.mdb,当我们点击确定进行下载的时候,他就去寻找一个名为)xadminxx.mdb的文件了……(也就是说flashget被我们给引入了歧途。)他当然找不到。所以提示下载失败了^_^。 
   
由此我们可以另衍生出一种防范的方法,既然flashget去找那个名为)xadminxx.mdb的文件了,我们可以给他准备一个呀^_^,我们给他作一个仿真的数据库名为)xadminxx.mdb,这样当入侵者想下载文件的时候的的确确的下载了一个数据库回去,他们肯定会偷偷的笑,实际上偷偷笑的是我们。里面的数据都是假的,如果他下载回去的是新闻数据库,他们没有仔细检查就用在了自己的网站上面^_^里面的假新闻可够他受了……。如果是假的商业机密数据库呢?哈哈!让他们哭去吧 

文章作者:未知  更新日期:2006-09-10
[文章浏览:][打印文章][发送文章
相关文章
·九种防止 MDB 数据库被下载的方法2006-09-10
阅读说明
·本站大部分文章转载于网络,如有侵权请留言告知,本站即做删除处理。
·本站法律法规类文章转载自[中国政府网(www.org.cn)],相关法律法规如有修订,请浏览[中国政府网]网站。
·本站转载的文章,不为其有效性,实效性,安全性,可用性等做保证。
·如果有什么问题,或者意见建议,请联系[网站管理员]
  原“浪人文章”和“浪人下载”网站已合并为“老若尔文章软件站”,域名:https://lre.cn
  本站使用【啊估文章软件站】网站系统    网站管理员留言簿〗〖捐助     闽ICP备08009617号