软件开发培训班 >> 编程开发 >> SQL


MSSQL数据安全防护之打造安全.mdb数据库

  什么是mdb数据库呢? 但凡有点制作网站 教训的网络治理员都晓得,当前 使用“IIS+ASP+ACCESS”这套组合 模式 构建网站是最 风行的,大多数中小型Internet网站都 使用该“套餐”,但随之而来的安全问题也日益卓著 。其中最方便被 突击者利用的莫过于mdb数据库被非法下载了 。

  mdb数据库是没有安全 提防的, 惟独入侵者推测或者扫描到mdb数据库的路径后就 可以 使用下载工具轻松将其下载到当地硬盘,再 联合暴力破解工具或一些超级破解工具 可以轻松的查看里头的数据库文件内容,企业的 隐衷和员工的密码从此不在安全 。难道我们就没有 步骤 加强mdb数据库的安全吗?难道 即便我们惟独一点点数据 材料也要麻烦sql server或者oracle吗?答案是不是定的,本篇文章小编将告诉大家打造安全的mdb数据库文件的独门秘诀 。

  一、危机起因:

  普通状况下基于ASP构建的网站程序和论坛的数据库的 扩大名默许为mdb,这是很惊险的 。 惟独推测出了数据库文件的位置, 而后在阅读器的地址栏里面输入它的URL,就 可以轻易地下载文件 。就算我们对数据库外加了密码而且里面治理员的密码也被MD5加密,被下载到当地以后也很方便被破解 。毕竟当前 MD5已经 可以通过暴力来破解了 。 因此 惟独数据库被下载了,那数据库就没有一点安全性可言了 。

  二、常用的补救 步骤:

  当前常用的数据库文件 预防被非法下载的 步骤有以下几种 。

  (1)把数据库的名字进行 批改,而且放到很深的目录下面 。 比方把数据库名 批改为Sj6gf5.mdb,放到多级目录中,这样 突击者想 方便地推测数据库的位置就很 困苦了 。固然这样做的 弊病便是假如ASP代码文件 透露,那无论 潜藏多深都没有用了 。

  (2)把数据库的 扩大名 批改为ASP或者ASA等不影响数据 查问的名字 。然而有时候 批改为ASP或者ASA以后 依旧 可以被下载, 比方我们将其 批改为ASP以后,直接在IE的地址栏里输入网络地址, 固然没有 揭示下载然而却在阅读器里浮现了一大片乱码 。假如 使用FlashGet或影音 传递带等专业的下载工具就 可以直接把数据库文件下载下来 。不过这种 步骤有 定然的盲目性,毕竟入侵者不能确保该文件就 定然是MDB数据库文件 批改 扩大名的文件,然而关于那些有充足精力和 工夫的入侵者来说, 可以将所有文件下载并所有 批改 扩大名来推测 。该 步骤的 提防级别将大大减低 。

  三、小编的 旁门左道:

  在小编的测试过程中就遇到了ASP和ASA文件也会被下载的问题,所以 通过探究发现了以下的 步骤 。

  假如在给数据库的文件命名的时候,将数据库文件命名为“#admin.asa”则 可以 彻底幸免用IE下载,然而假如 毁坏者推测到了数据库的路径,用FlashGet还是 可以 顺利地下载下来, 而后把下载后的文件改名为“admin.mdb”,则网站 机密就将 袒露 。所以我们需求找到一种 FlashGet 无奈下载的 步骤,然而如何 威力让他 无奈下载呢?大约是由于以往受到unicode 漏洞 突击的缘故,网站在 解决包括unicode码的链接的时候将会不予 解决 。所以我们 可以利用unicode编码( 比方 可以利用“%3C ” 接替“<”等),来达到我们的 目标 。而FlashGet在 解决包括unicode码的链接的时候却“自作聪慧”地把unicode编码做了对应的 解决, 比方自动把“%29”这一段unicode编码 模式的字符转化成了“(”,所以你向FlashGet提交一个 http://127.0.0.1/xweb/data/%29xadminsxx.mdb的下载链接,它却解释成了http: //127.0.0.1/xweb/data/(xadminsxx.mdb,看看我们上面的网址的地方和下面的重命名的地方是不同的,FlashGet 把“%29xadminsxx.mdb”解释为了“(xadminsxx.mdb”,当我们单击“确定”按钮进行下载的时候,它就去寻觅一个名为 “(xadminsxx.mdb”的文件 。也便是说FlashGet给我们引入了歧途,它固然找不到,所以 揭示失败了 。

  不过假如 揭示下载失败, 突击者 确定要想采取 其余的 突击 步骤 。由此我们 可以采纳另一个 提防的 步骤,既然FlashGet去找那个名为 “(xadminsxx.mdb”的文件了,我们 可以给它 预备一个,我们给它做一个仿真的数据库名为“(xadminsxx.mdb”,这样当入侵者想下载文件的时候的确实确下载了一个数据库回去,只是这个数据库文件是 虚假的或者是空的,在他们暗自窃喜的时候,实际上最后的 成功是属于我们的 。

  总结:

  通过本次 旁门左道 掩护MDB数据库文件 步骤的介绍,我们 可以明确两点安全措施,一是 困惑法,也便是将黑客想得到的东西进行转变,例如转变MDB 文件的文件名或者 扩大名;二是 代替法,也便是将黑客想得到的东西 潜藏,用一个没有实际 意思的东西 代替,这样 即便黑客 顺利入侵,拿到的也是一个 虚假的信息,他们还会 认为入侵 顺利而 停留接下来的 突击 。