ACCESS数据库防下载安全 不指定

Heck post in 黑客攻防 2010/09/26 08:37 评论(0) 阅读(1098) | |
      以前有写过一篇关于access安全的文章,但总觉得有不足,经过测试研究后,重新写出来,欢迎大家进行讨论。 smile
首先我们知道常见的傻瓜式入侵ASP网站下载默认数据库是其中一个方法,挖掘机挖掘大量的网站,寻找网站中存在的默认数据库。数据库作为一个动态网站最重要的核心,里面记录了大量信息。作为一名入侵者,拿到数据库就等于拿到网站的权限了,轻则泄露数据,重则影响网站乃至整个服务器的安全。

ASP ACCESS的网站结构是网上最流行的架构方式之一,几乎的站长使用的都是别人的网站系统,很多人都忽略了修改默认数据库,从而导致入侵者有入侵的机会。

在入侵ASP ACCESS网站系统中,直接下载数据库、使用一句话木马是最常见的方法,其中直接下载数据库包括了通过暴库和直接下载默认数据库来得到数据库路径,插入一句话木马是针对得到数据库地址,并且是ASP或者ASA为扩展名的数据库。

所以网上流传的修改数据库扩展名为ASP和ASA不是一个最安全的方法,反而被入侵者知道路径后,是一个致命的错。而将数据库名加上#也并非安全的做法。


通过上面总结后我们知道,只要让入侵者无法下载数据库,无法插入一句话木马,即使他们知道路径也无妨。

经过测试,我发现,只要将数据库的扩展名删除,就可以做到了。大家都知道IIS里有个默认文档,当用户浏览网站主页或者网站目录时,首先浏览的就是这默认文档,一般为index.htm、index.asp等等。如果删除了扩展名,那么直接提交数据库地址时,就会被误认为浏览目录,但这个目录并非存在,所以404错误,返回找不到该页。举例:假设我们取数据库名为"hoversnow"(没有扩展名),然后通过访问地址http://**/hoversnow,假设默认文档最前面的一个是index.htm,在访问时会被解析为http://**/hoversnow/index.htm,因为此目录不存在而找不到(测试环境是Windows XP/2003,IIS 5.0/6.0,FAT32/NTFS的硬盘)。但是我在本地测试时,一样可以下载(本地环境是XP和IIS5.0),而上传到空间里测试,却无法下载(空间环境是2003和IIS6.0),于是我想,把文件名里加一个“/”,让他解析成目录,但是文件名中不能含有“/”,所以我把“/”转成了ASCII编码/,经过测试,返回404错误且网站能正常访问(数据库没有连接错误)。

本文有不足之处欢迎讨论。


来源:Heck's Blog
地址:http://www.hecks.tk/access-db-to-avoid-download/
转载时须以链接形式注明作者和原始出处及本声明,否则将追究法律责任,谢谢配合!