服务器架站应用:打造安全mdb数据库
作者:转转 来源:it168 发布时间:2008-03-18 12:01:00
什么是mdb数据库呢?凡是有点制作网站经验的网络管理员都知道,目前使用“IIS+ASP+ACCESS”这套组合方式建立网站是最流行的,大多数中小型Internet网站都使用该“套餐”,但随之而来的安全问题也日益显著。其中最容易被攻击者利用的莫过于mdb数据库被非法下载了。
mdb数据库是没有安全防范的,只要入侵者猜测或者扫描到mdb数据库的路径后就可以使用下载工具轻松将其下载到本地硬盘,再结合暴力破解工具或一些超级破解工具可以轻松的查看里头的数据库文件内容,企业的隐私和员工的密码从此不在安全。难道我们就没有办法加强mdb数据库的安全吗?难道即便我们只有一点点数据资料也要麻烦sql server或者oracle吗?答案是否定的,本篇文章笔者将告诉大家打造安全的mdb数据库文件的独门秘诀。
一、危机起因:
一般情况下基于ASP构建的网站程序和论坛的数据库的扩展名默认为mdb,这是很危险的。只要猜测出了数据库文件的位置,然后在浏览器的地址栏里面输入它的URL,就可以轻易地下载文件。就算我们对数据库加上了密码并且里面管理员的密码也被MD5加密,被下载到本地以后也很容易被破解。毕竟目前MD5已经可以通过暴力来破解了。因此只要数据库被下载了,那数据库就没有丝毫安全性可言了。
二、常用的补救方法:
目前常用的数据库文件防止被非法下载的方法有以下几种。
(1)把数据库的名字进行修改,并且放到很深的目录下面。比如把数据库名修改为Sj6gf5.mdb,放到多级目录中,这样攻击者想简单地猜测数据库的位置就很困难了。当然这样做的弊端就是如果ASP代码文件泄漏,那无论隐藏多深都没有用了。
(2)把数据库的扩展名修改为ASP或者ASA等不影响数据查询的名字。但是有时候修改为ASP或者ASA以后仍然可以被下载,比如我们将其修改为ASP以后,直接在IE的地址栏里输入网络地址,虽然没有提示下载但是却在浏览器里出现了一大片乱码。如果使用FlashGet或影音传送带等专业的下载工具就可以直接把数据库文件下载下来。不过这种方法有一定的盲目性,毕竟入侵者不能确保该文件就一定是MDB数据库文件修改扩展名的文件,但是对于那些有充足精力和时间的入侵者来说,可以将所有文件下载并全部修改扩展名来猜测。该方法的防范级别将大大降低。
三、笔者的旁门左道:
在笔者的测试过程中就遇到了ASP和ASA文件也会被下载的问题,所以经过研究发现了以下的方法。
如果在给数据库的文件命名的时候,将数据库文件命名为“#admin.asa”则可以完全避免用IE下载,但是如果破坏者猜测到了数据库的路径,用FlashGet还是可以成功地下载下来,然后把下载后的文件改名为“admin.mdb”,则网站秘密就将暴露。所以我们需要找到一种FlashGet无法下载的方法,但是如何才能让他无法下载呢?大概是因为以前受到unicode漏洞攻击的缘故,网站在处理包含unicode码的链接的时候将会不予处理。所以我们可以利用unicode编码(比如可以利用“%3C ”代替“<”等),来达到我们的目的。而FlashGet在处理包含unicode码的链接的时候却“自作聪明”地把unicode编码做了对应的处理,比如自动把“%29”这一段unicode编码形式的字符转化成了“(”,所以你向FlashGet提交一个 http://127.0.0.1/xweb/data/%29xadminsxx.mdb的下载链接,它却解释成了http://127.0.0.1/xweb/data/(xadminsxx.mdb,看看我们上面的网址的地方和下面的重命名的地方是不同的,FlashGet把“%29xadminsxx.mdb”解释为了“(xadminsxx.mdb”,当我们单击“确定”按钮进行下载的时候,它就去寻找一个名为“(xadminsxx.mdb”的文件。也就是说FlashGet给我们引入了歧途,它当然找不到,所以提示失败了。
不过如果提示下载失败,攻击者肯定要想采取其他的攻击方法。由此我们可以采用另一个防范的方法,既然FlashGet去找那个名为“(xadminsxx.mdb”的文件了,我们可以给它准备一个,我们给它做一个仿真的数据库名为“(xadminsxx.mdb”,这样当入侵者想下载文件的时候的的确确下载了一个数据库回去,只不过这个数据库文件是虚假的或者是空的,在他们暗自窃喜的时候,实际上最终的胜利是属于我们的。
总结:
通过本次旁门左道保护MDB数据库文件方法的介绍,我们可以明确两点安全措施,一是迷惑法,也就是将黑客想得到的东西进行改变,例如改变MDB文件的文件名或者扩展名;二是替代法,也就是将黑客想得到的东西隐藏,用一个没有实际意义的东西替代,这样即使黑客成功入侵,拿到的也是一个虚假的信息,他们还会以为入侵成功而停止接下来的攻击。
猜你喜欢
- 首先在这里先要鄙视一下那些所谓的黑客,基本上都是一群只会拾人牙慧的垃圾,高手发布了一些教程漏洞,然后找几个软件按图索骥黑了几个网站就把自己封
- 很多网友都在抱怨Windows Mail收取邮件后,不能像foxmail那样在服务器上保留邮件原件。其实,并不是Windows Mail不保
- 随着互联网逐步发展成熟以及90后成为当今网络最大用户群体时候,这个时候我们做一个网站就要给一个网站进行良好的网站规划。因为垃圾站的生存余地越
- 令众多腾讯QQ用户期待已久的QQ2008正式版将于6月16日对外发布,目前已经邀请部分用户参与内测。据了解QQ2008 正式版本新
- 雅虎首席执行官卡罗尔·巴茨(腾讯科技配图)北京时间11月19日消息,据国外媒体报道,《华尔街日报》专栏作家卡拉·斯韦什尔(Kara Swis
- 为了能让Internet用户通过IE浏览器轻松访问到目标共享文件夹中的共享信息,我们还需要经过下面的设置,将目标共享文件夹“aaa”信息发布
- DedeCMS自带Rss功能,在管理后台可以生成出一个Rss地图页面,默认是/data/rssmap.html;这个Html地图文件会告知用
- 学习seo也有很长一段时间了,这段时间也操作了很多案例,进行过很多次的试验和测试,对于网站优化,自己也有很多的体会,现在和大家一起交流下自己
- 现在人们买食品都讲究绿色、没有添加任何化学添加剂的食物。那么对网站推广这块又何尝不是呢?网站推广不管是海外网站推广还是国内网站推广。最终的搜
- 最新消息,中国最大的互联网社区平台及服务提供商康盛创想(Comsenz)旗下核心产品UCenter Home(简称UCHome)新版本研发已
- 什么是网站设计中最重要的一个环节?很多人会回答是网站的可读性,怎么样才能使你的内容更容易阅读。读者来到你的网站是在阅读他们关心的内容,如果文
- 第512期的《三联生活周刊》很有意思,不但大篇幅的介绍Google earth和Second Life这俩很时髦的产品,还有关于David
- 国内领先的网页游戏《商业大亨Online》早前成功打入港澳台、新马泰等海外市场,马上就在东南亚掀起了模拟经营游戏热潮,即便正值严冬也热度不减
- 做为国内最早开源的php+mysql网站内容管理系统dedecms织梦,我想作为站长的无论大小90%以上的应该都了解,最起码的是听闻。毕竟,
- 这两年大家都扎堆做地方站,但是一般市级地区都有本地门户,现在做是和那些老站无法抗衡的。所以好多站长选择做县级论坛。哎,都想抓住网络上最后一根
- Discuz!论坛的积分设置很灵活和详细,在论坛后台的工具 => 积分策略向导能够完成论坛所有的积分设置,打开积分策略向导页面,如下图
- 如果你打算做站长,哪么你面临的第一件事就是注册域名。千辛万苦终于选定了自己心仪的域名,但是到哪里注册呢?这个问题其实一点也不比选择域名来的简
- 本文代码摘自Low End Box,LEB的站长因为成功搭建了80M的WEB环境而被业内传为佳话,这一次他懒惰,不想长篇大论,就
- 注:这是从PHPCMS开发文档里看到编码规范,虽名为PHPCMS的开发规范,但我觉得所有的PHP编程都该如此。写了那么多PHP,很多编码对照
- 1.域名和空间域名对排名的影响是非常小,但对网站整体来说却是很重要,因为一个好的域名会给我们带来很大流量和知名度,选择的时候,以短小易记为原