搭建Access为主的Mdb数据库
摘要:搭建Access为主的Mdb数据库
搭建Access为主的Mdb数据库
什么是mdb数据库呢?凡是有点制造网站阅历的网络治理员都知道,目前利用“IIS+ASP+ACCESS”这套组合模式建设网站是最盛行的,大少数中小型Internet网站都利用该“套餐”,但随之而来的平安成绩也日益分明。其中最容易被攻击者应用的莫过于mdb数据库被非法下载了。
什么是mdb数据库呢?凡是有点制造网站阅历的网络治理员都知道,目前利用“IIS+ASP+ACCESS”这套组合模式建设网站是最盛行的,大少数中小型Internet网站都利用该“套餐”,但随之而来的平安成绩也日益分明。其中最容易被攻击者应用的莫过于mdb数据库被非法下载了。
mdb数据库是没有平安防备的,只需入侵者猜测或许扫描到mdb数据库的门路后就可能利用下载工具轻松将其下载到本地硬盘,再联合暴力破解工具或一些超级破解工具可能轻松的查看里头的数据库文件内容,企业的隐衷和员工的明码从此不在平安。难道咱们就没有办法加强mdb数据库的平安吗?难道即便咱们只要一点点数据材料也要费事sqlserver或许oracle吗?答案能否定的,本篇文章笔者将通知大家打造平安的mdb数据库文件的独门秘诀。
一、危机原因:
普通情况下基于ASP构建的网站程序和论坛的数据库的扩充名默以为mdb,这是很风险的。只需猜测出了数据库文件的地位,然后在阅读器的地址栏里面输入它的URL,就可能随便地下载文件。就算咱们对数据库加上了明码并且里面治理员的明码也被MD5加密,被下载到本地当前也很容易被破解。毕竟目前MD5已经可能经过暴力来破解了。因此只需数据库被下载了,那数据库就没有丝毫平安性可言了。
二、常用的补救方法:
目前常用的数据库文件防止被非法下载的方法有以下几种。
(1)把数据库的名字停止修正,并且放到很深的目录下面。比如把数据库名修正为Sj6gf5.mdb,放到多级目录中,这样攻击者想简略地猜测数据库的地位就很艰巨了。当然这样做的弊端就是假设ASP代码文件走漏,那无论隐藏多深都没有用了。
(2)把数据库的扩充名修正为ASP或许ASA等不影响数据查询的名字。然而有时分修正为ASP或许ASA当前仍然可能被下载,比如咱们将其修正为ASP当前,间接在IE的地址栏里输入网络地址,只管没有揭示下载然而却在阅读器里出现了一大片乱码。假设利用FlashGet或影音传送带等业余的下载工具就可能间接把数据库文件下载上去。不过这种方法有肯定的盲目性,毕竟入侵者不能确保该文件就肯定是MDB数据库文件修正扩充名的文件,然而对于那些有充足精神和工夫的入侵者来说,可能将一切文件下载并全副修正扩充名来猜测。该方法的防备级别将大大升高。
三、笔者的歪门邪道:
在笔者的测试过程中就遇到了ASP和ASA文件也会被下载的成绩,所以通过钻研发现了以下的方法。
假设在给数据库的文件命名的时分,将数据库文件命名为“#admin.asa”则可能齐全避免用IE下载,然而假设破坏者猜测到了数据库的门路,用FlashGet还是可能胜利地下载上去,然后把下载后的文件改名为“admin.mdb”,则网站秘密就将裸露。所以咱们需求找到一种FlashGet无奈下载的方法,然而如何能力让他无奈下载呢?大概是由于以前遭到unicode漏洞攻击的缘故,网站在解决蕴含unicode码的链接的时分将会不予解决。所以咱们可能应用unicode编码(比如可能应用“%3C”代替“<”等),来达到咱们的目标。而FlashGet在解决蕴含unicode码的链接的时分却“自作聪明”地把unicode编码做了对应的解决,比如主动把“%29”这一段unicode编码方式的字符转化成了“(”,所以你向FlashGet提交一个%29xadminsxx.mdb的下载链接,它却解释成了(xadminsxx.mdb,看看咱们上面的网址的中央和下面的重命名的中央是不同的,FlashGet把“%29xadminsxx.mdb”解释为了“(xadminsxx.mdb”,当咱们单击“确定”按钮停止下载的时分,它就去寻觅一个名为“(xadminsxx.mdb”的文件。也就是说FlashGet给咱们引入了歧途,它当然找不到,所以揭示失败了。
不过假设揭示下载失败,攻击者一定要想采取其余的攻击方法。由此咱们可能采用另一个防备的方法,既然FlashGet去找那个名为“(xadminsxx.mdb”的文件了,咱们可能给它预备一个,咱们给它做一个仿真的数据库名为“(xadminsxx.mdb”,这样当入侵者想下载文件的时分的确实确下载了一个数据库回去,只不过这个数据库文件是虚假的或许是空的,在他们暗自窃喜的时分,实践上最终的成功是属于咱们的。
总结:
经过本次歪门邪道保护MDB数据库文件方法的引见,咱们可能明白两点平安措施,一是迷惑法,也就是将黑客想失去的货色停止扭转,例如扭转MDB文件的文件名或许扩充名;二是替代法,也就是将黑客想失去的货色隐藏,用一个没有实践意义的货色替代,这样即使黑客胜利入侵,拿到的也是一个虚假的信息,他们还会认为入侵胜利而中止接上去的攻击。
什么是mdb数据库呢?凡是有点制造网站阅历的网络治理员都知道,目前利用“IIS+ASP+ACCESS”这套组合模式建设网站是最盛行的,大少数中小型Internet网站都利用该“套餐”,但随之而来的平安成绩也日益分明。其中最容易被攻击者应用的莫过于mdb数据库被非法下载了。
mdb数据库是没有平安防备的,只需入侵者猜测或许扫描到mdb数据库的门路后就可能利用下载工具轻松将其下载到本地硬盘,再联合暴力破解工具或一些超级破解工具可能轻松的查看里头的数据库文件内容,企业的隐衷和员工的明码从此不在平安。难道咱们就没有办法加强mdb数据库的平安吗?难道即便咱们只要一点点数据材料也要费事sqlserver或许oracle吗?答案能否定的,本篇文章笔者将通知大家打造平安的mdb数据库文件的独门秘诀。
一、危机原因:
普通情况下基于ASP构建的网站程序和论坛的数据库的扩充名默以为mdb,这是很风险的。只需猜测出了数据库文件的地位,然后在阅读器的地址栏里面输入它的URL,就可能随便地下载文件。就算咱们对数据库加上了明码并且里面治理员的明码也被MD5加密,被下载到本地当前也很容易被破解。毕竟目前MD5已经可能经过暴力来破解了。因此只需数据库被下载了,那数据库就没有丝毫平安性可言了。
二、常用的补救方法:
目前常用的数据库文件防止被非法下载的方法有以下几种。
(1)把数据库的名字停止修正,并且放到很深的目录下面。比如把数据库名修正为Sj6gf5.mdb,放到多级目录中,这样攻击者想简略地猜测数据库的地位就很艰巨了。当然这样做的弊端就是假设ASP代码文件走漏,那无论隐藏多深都没有用了。
(2)把数据库的扩充名修正为ASP或许ASA等不影响数据查询的名字。然而有时分修正为ASP或许ASA当前仍然可能被下载,比如咱们将其修正为ASP当前,间接在IE的地址栏里输入网络地址,只管没有揭示下载然而却在阅读器里出现了一大片乱码。假设利用FlashGet或影音传送带等业余的下载工具就可能间接把数据库文件下载上去。不过这种方法有肯定的盲目性,毕竟入侵者不能确保该文件就肯定是MDB数据库文件修正扩充名的文件,然而对于那些有充足精神和工夫的入侵者来说,可能将一切文件下载并全副修正扩充名来猜测。该方法的防备级别将大大升高。
三、笔者的歪门邪道:
在笔者的测试过程中就遇到了ASP和ASA文件也会被下载的成绩,所以通过钻研发现了以下的方法。
假设在给数据库的文件命名的时分,将数据库文件命名为“#admin.asa”则可能齐全避免用IE下载,然而假设破坏者猜测到了数据库的门路,用FlashGet还是可能胜利地下载上去,然后把下载后的文件改名为“admin.mdb”,则网站秘密就将裸露。所以咱们需求找到一种FlashGet无奈下载的方法,然而如何能力让他无奈下载呢?大概是由于以前遭到unicode漏洞攻击的缘故,网站在解决蕴含unicode码的链接的时分将会不予解决。所以咱们可能应用unicode编码(比如可能应用“%3C”代替“<”等),来达到咱们的目标。而FlashGet在解决蕴含unicode码的链接的时分却“自作聪明”地把unicode编码做了对应的解决,比如主动把“%29”这一段unicode编码方式的字符转化成了“(”,所以你向FlashGet提交一个%29xadminsxx.mdb的下载链接,它却解释成了(xadminsxx.mdb,看看咱们上面的网址的中央和下面的重命名的中央是不同的,FlashGet把“%29xadminsxx.mdb”解释为了“(xadminsxx.mdb”,当咱们单击“确定”按钮停止下载的时分,它就去寻觅一个名为“(xadminsxx.mdb”的文件。也就是说FlashGet给咱们引入了歧途,它当然找不到,所以揭示失败了。
不过假设揭示下载失败,攻击者一定要想采取其余的攻击方法。由此咱们可能采用另一个防备的方法,既然FlashGet去找那个名为“(xadminsxx.mdb”的文件了,咱们可能给它预备一个,咱们给它做一个仿真的数据库名为“(xadminsxx.mdb”,这样当入侵者想下载文件的时分的确实确下载了一个数据库回去,只不过这个数据库文件是虚假的或许是空的,在他们暗自窃喜的时分,实践上最终的成功是属于咱们的。
总结:
经过本次歪门邪道保护MDB数据库文件方法的引见,咱们可能明白两点平安措施,一是迷惑法,也就是将黑客想失去的货色停止扭转,例如扭转MDB文件的文件名或许扩充名;二是替代法,也就是将黑客想失去的货色隐藏,用一个没有实践意义的货色替代,这样即使黑客胜利入侵,拿到的也是一个虚假的信息,他们还会认为入侵胜利而中止接上去的攻击。
![[最佳方案]删除SQLServer数据库中所有](/images/defaultpic.gif)
