SEO中国站 | SEO站长社区      SEO中国站专注为企业提供搜索引擎优化(SEO)服务,中国SEO服务诚信高效品牌      关于我们 | 客户服务 | SEO博客 | 加入收藏 | RSS订阅

SEO中国站:提供SEO服务|网站优化,搜索引擎优化(SEO)服务专业平台

SEO中国站专业为中小型企业提供SEO服务搜索引擎优化中国SEO在线诚信服务平台,如需更多咨询和交流,请点击客户服务中心交谈,QQ:176128596!
返回首页
当前位置: 首页 > 网站建设 >

如何保护access数据库mdb数值库安全

时间:2010-11-15 22:45来源:SEO中国站 作者:seocnz 点击:
如何保护access数据库mdb数值库安全,什么是mdb数值库呢?凡是有点制作网站经验的网络办理员都懂得,目前使用IIS+ASP+ACCESS这套组合方式成立网站是最流行的,大大都中小型Internet网站都使用该套餐,但随之而来的安全问题也日益光鲜明显。此中最容易被攻击者
  

  如何保护access数据库mdb数值库安全,什么是mdb数值库呢?凡是有点制作网站经验的网络办理员都懂得,目前使用"IIS+ASP+ACCESS"这套组合方式成立网站是最流行的,大大都中小型Internet网站都使用该"套餐",但随之而来的安全问题也日益光鲜明显。此中最容易被攻击者哄骗的莫过于mdb数值库被不法下载了。

  什么是mdb数值库呢?凡是有点制作网站经验的网络办理员都懂得,目前使用"IIS+ASP+ACCESS"这套组合方式成立网站是最流行的,大大都中小型Internet网站都使用该"套餐",但随之而来的安全问题也日益光鲜明显。此中最容易被攻击者哄骗的莫过于mdb数值库被不法下载了。

 

  mdb数值库是没有安全提防的,只要入侵者猜测或者扫描到mdb数值库的路径后就能够使用下载工具轻松将其下载到本地硬盘,再联合暴力破解工具或一些超级破解工具可以轻松的查看内中的数值库文件内容,企业的隐私和员工的密码从此不在安全。莫非咱们就无法增强mdb数值库的安全吗?莫非即便咱们只有一点点数值资料也要贫苦sqlserver或者oracle吗?答案是否认的,本篇文章笔者将告诉各人打造安全的mdb数值库文件的独门法门。

 

  一、危机因由:

  一般情况下基于ASP构建的网站程序和论坛的数值库的扩大名默许为mdb,这是很伤害的。只要猜测出了数值库文件的位置,之后在浏览器的地址栏内里输入它的URL,就能够等闲地下载文件。就算咱们对数值库加之了密码而且内里办理员的密码也被MD5加密,被下载到本地以后也很容易被破解。毕竟目前MD5已可以通过暴力来破解了。因此只要数值库被下载了,那数值库就没有丝毫安全性可言了。

 

  2、经常使用的调停方法:

  目前经常使用的数值库文件防止被不法下载的方法有以下几种。

 

  (1)把数值库的名字举行修改,而且放到很深的目次下面。好比把数值库名修改为Sj6gf5.mdb,放到多级目次中,这样攻击者想简单地猜测数值库的位置就很困难了。固然这样做的弊端就是要是ASP代码文件走漏,那不管隐藏多深都没有用了。

 

  ⑵把数值库的扩大名修改为ASP或者ASA等不影响数值查询的名字。可是有时修改为ASP或者ASA以后仍然可以被下载,好比咱们将其修改为ASP以后,直接在IE的地址栏里输入网络地址,虽然没有提醒下载可是却在浏览器里呈现了一大片杂乱的符号。要是使用FlashGet或影音传送带等专业的下载工具就能够直接把数值库文件下载下来。不外这种方法有一定的盲目性,毕竟入侵者不克不及确保该文件就一定是MDB数值库文件修改扩大名的文件,可是对于那一些有充足精力和时间的入侵者来说,可以将所有文件下载并全部修改扩大名来猜测。该方法的提防级别将大大降低。

 

  3、笔者的侧门左道:

 

  在笔者的测试过程当中就遇到了ASP和ASA文件也会被下载的问题,所以颠末研究发现了以下的方法。

 

  要是在给数值库的文件命名的时候,将数值库文件命名为"#admin.asa"则可以完全制止用IE下载,可是要是破坏者猜测到了数值库的路径,用FlashGet照旧可以成功地下载下来,之后把下载后的文件改名为"admin.mdb",则网站秘密就将袒露。所以咱们需要找到一种FlashGet无法下载的方法,可是如何才能让他无法下载呢?梗概是由于之前受到unicode缝隙攻击的缘故,网站在处理包罗unicode码的链接的时候将会不予处理。所以咱们可以哄骗unicode编码(好比可以哄骗"%3C"代替"<"等),来达到咱们的目的。而FlashGet在处理包罗unicode码的链接的时候却"自作伶俐"地把unicode编码做了对应的处理,好比自己主动把"%29"这一段unicode编码形式的字符转化成了"(",所以你向FlashGet提交1个http://127.0.0.1/xweb/data/%29xadminsxx.mdb的下载链接,它却解释成了http://127.0.0.1/xweb/data/(xadminsxx.mdb,看看咱们上边的网址的处所和下面的重命名的处所是差别的,FlashGet把"%29xadminsxx.mdb"解释为了"(xadminsxx.mdb",当咱们单击"确定"按键举行下载的时候,它就去寻觅1个名为"(xadminsxx.mdb"的文件。也就是说FlashGet给咱们引入了歧途,它固然找不到,所以提醒掉败了。

 

  不外要是提醒下载掉败,攻击者必定要想采取其他的攻击方法。由此咱们可以接纳另1个提防的方法,既是FlashGet去找那个名为"(xadminsxx.mdb"的文件了,咱们可以给它准备1个,咱们给它做1个仿真的数值库名为"(xadminsxx.mdb",这样当入侵者想下载文件的时候的简直确下载了1个数值库归去,只不外这个数值库文件是虚伪的或者是空的,在她们暗自窃喜的时候,现实上最终的胜利是归属咱们的。

 

  总结:

  通过本次侧门左道保护MDB数值库文件方法的介绍,咱们可以明确两点安全办法,一是迷惑法,也就是将黑客想获得的东西举行改变,例如改变MDB文件的文件名或者扩大名;二是替换法,也就是将黑客想获得的东西隐藏,用1个没有现心意真实义的东西替换,这样纵然黑客成功入侵,拿到的也是1个虚伪的信息,她们还会以为入侵成功而停止接下来的攻击

 

文章出处:www.seocnz.com
SEO中国站专注企业SEO服务SEO优化,网站优化,中国SEO诚信服务品牌。
本文seocnz保留所有,转载请以连接形式注明出处。

------分隔线----------------------------

------分隔线----------------------------
你还可以阅读以下相关文章 [精华导读]
发表评论
请自觉遵守互联网相关政策法规,作者管理后台可以删除恶意评论、广告和违禁词语。。
验证码:点击我更换图片
SEO中国站优化服务官方微薄
推荐内容
SEO服务