8大措施帮你构筑Access安全防线
来源:低一度博客 发布时间:2010-03-11 14:38:00
今天下午,低一度博客受到攻击了,出现了大约一个小时的访问异常。庆幸的是,这帮无耻歹徒没能成功获取我的Access数据库,而只是象征性地给我注入了一些东西。也不知道他们是怎样注入的!想想的确不容小视这帮混蛋!不过没关系,低一度的数据库目前足够安全。利用这个“机会”,我们就来谈一谈这个问题。
大家都知道,Asp程序使用得最多的数据库类型就是Access,如PJ-Blog、Z-Blog等。这是因为Access数据库简单小巧,直接上传到服务器上就可以用了。尽管简便,然而Access也有不足之处,其中比较伤脑筋的便是其安全性问题。大部分黑客攻击此类Asp站点,就是从获取Access数据库开始的。所以,怎样有效防范Access数据库被恶意下载,成了建站中首当其冲的话题。这里,低一度结合自己的经验、实例及一些网上搜罗来的资料,向大家介绍几种相对有效的防范措施,希望对大家会有帮助(当然,用不着最好)。
防范措施一:将数据库文件名命名得尽可能地复杂
这是最最偷懒的方法了!所以,这个法子的安全指数也并非最高。若攻击者通过第三方途径获得了数据库的路径,你就玩完了。比如说我本来只能拿到list权,结果意外看到了你的数据库路径,那我便可冠冕堂皇地把数据库下载回去研究了。另外,数据文件通常大小都比较大,取再隐蔽的文件名也瞒不了人。呵呵,所以此法我并不提倡。
防范措施二:修改数据库名后缀为Asa或Asp等格式
这一做法,安全指数相对第一种行为会高一些,但同样存在着隐患。它必须配合一些必要的设置进行,如:在数据库文件中加入<%或%>标签,这样,IIS才会按Asp语法来解析,然后报告500错误,使歹徒无法下载。可是,假如只是简单地在数据库的文本或备注字段中加入<%是起不到作用的,因为Access会对其中的内容进行处理,在数据库里它会以< %的形式存在,无效哦!正确的方法应该是将<%存入OLE对象字段里,这样我们的防范目的才能达到。
操作方法如下: 先用notepad新建一个内容为“<%”的文本文件,然后随便取个名字存档。接着,用Access打开你的数据库文件,新建一个表,随便取个什么名字,然后在表中添加一个OLE对象的字段,并添加一条记录,插入之前建立的文本文件,要是操作正确,便可以看到一个新的名为“数据包”的记录。可以了!
防范措施三:在数据库名称前加上“#”等特殊符号
在数据库文件名之前加上“#”等特殊符号、然后修改数据库连接文件(如c_custom.asp)中的数据库地址,也可以起到不错的保护作用。原理是:当歹徒下载的时候,浏览器或下载工具将只能识别“#”符号前的部分地址,而对于“#”后面的名将自动去除。举个例子,假设你要下载:http://www.diyidu.cn/date/#123.mdb(如果存在的话),当你输入该地址回车,此时无论是Ie还是Flashget等,下载到的将都是http://www.diyidu.cn/date/index.htm(index.asp、default.jsp等你在IIS设置的首页文档)。
另外,在数据库文件名中保留一些空格也能起到类似作用,由于Http协议对地址解析的非凡性,空格会被编译为“%”,比如你要下载:http://www.diyidu.cn/date/123 456.mdb(123与456之间是个空格),当你输入该地址回车,此时你下载到的将是http://www.diyidu.cn/date/123%456.mdb。而我们的目录中,根本就没有123%456.mdb这个文件,所以下载也是无效的。经过这样的修改以后,即使你暴露了数据库地址,一般情况下别人也无法下载得到。所以,这项措施的安全指数较之前两法,有更高了一筹。
防范措施四:为你的Access数据库加密
选取“工具-》安全-》加密/解密数据库,选取数据库(如:ABC.mdb)”,然后按确定,接着会出现“数据库加密后另存为”的窗口,另存为:ABC1.mdb,接着原数据库ABC.mdb就会被编码,然后另存为ABC1.mdb。注意,以上动作并不是对数据库设置密码,而是对数据库文件加以编码,目的是为了防止他人使用查看工具来查阅数据库文件中的内容。接下来的操作是:首先打开经过编码了的ABC1.mdb,在打开时,选择“独占”方式。然后选取功能表中的“工具-》安全-》设置数据库密码”, 接着输入密码即可。这样即使他人得到了ABC1.mdb文件,没有密码也是无法看到ABC1.mdb的。最后,记得加密完要同步修改数据库连接文件哦!
一点小说明:由于Access数据库的加密机制相对简单,即使设置了密码,解密也很轻易。只要数据库被下载了,其信息安全依然是个未知数。所以,此法也不是最佳。
猜你喜欢
- 有多少次你在考虑怎样设置数据库时感到为难?其实,如果你在Linux上使用MySQL,就不会有这种情况了。在Linux上使用Webmin图形界
- 在动态删除iframe时,同时把iframe里嵌套的iframe 删除,遇到了这个问题。本来之前都没报错,突然昨天他们嵌套了一个 跨域 的网
- 相信为数不少的系统管理员每天都在做着同一样的工作——对数据进行备份。一旦哪一天疏忽了,而这一天系统又恰恰发生了故障,需要进行数据
- asp三天学好ADO对象之第二天 今天来说一下Recordset对象的一些方法。1、AddNew 方法创建可更新 Recordset 对象的
- 对于xml2ddl项目,Freshmeat.org提供了一整套基于GNU或者GPL通用公共许可证下的Python程序。在一个运行的Pytho
- 我有大量的重要数据要从SQL Server导出到Access或Excel文件中去,手工做太麻烦,还有其它的好办法吗?有,我们在 SQL Se
- 站长们是不是还在为空间不支持域名绑定到子目录而发愁呢?买了个便宜也不错的空间,用的还满意,准备再开几个网站,却发现空间程序太落后,无法支持域
- 高效的css写法中的一条就是使用简写。通过简写可以让你的CSS文件更小,更易读。而了解CSS属性简写也是前端开发工程师的基本功之一。今天我们
- asp替换函数如下:Function ReplaceNoIgnoreCase(str,replStr) &n
- 1 丰富的二维动画/图形和视音频表现 Rich 2D animation/graphics with audio and video这点毋庸
- 如果能,请问如何实现 谢谢set aa=server.cre
- 也许已经有人发现可以这样写...CSS代码部分a.info { position:
- 揭秘一个普通的输入框背后惊人的秘密。某月某日,某项目某页面,需要一个价格区间筛选功能,需求合理,所以设计做上去。这是一个无比普通的输入框。在
- 本文介绍了使用xmlhttp处理远程文件数据、或采集文章时,对对方网页编码的处理方法。因为使用ajax的xmlhttp网页编码处理不当很容易
- 数据字典是Oracle存放有关数据库信息的地方,其用途是用来描述数据的。比如一个表的创建者信息,创建时间信息,所属表空间信息,用户访问权限信
- 概述 -------------------------------------------------------------------
- 在这种配置下我们要实现关键词不区分大小写搜索并高亮显示要借助ASP的正则处理了,请看下面代码:<% Function&nbs
- 本人曾经用过的备份方式有:mysqldump、mysqlhotcopy、BACKUP TABLE 、SELECT INTO OUTFILE,
- MySQL安全性指南(3) 作 者: 晏子2.4 不用GRANT设置用户如果你有一个早于3.22.11的MySQL版本,你不能使用GRANT
- 修复Access数据库,我们一般使用微软Office 97中带的Access 97对数据库进行修复和整理。Access数据库被损坏分以下几种