Access 數(shù)據(jù)庫(kù)安全攻防策略
發(fā)表時(shí)間:2024-01-16 來(lái)源:明輝站整理相關(guān)軟件相關(guān)文章人氣:
[摘要]前言:網(wǎng)絡(luò)是沒(méi)有絕對(duì)全安的,這是一句經(jīng)典的名言,我也不用多說(shuō)了!今天主要為大家演示一下,怎么下載Access數(shù)據(jù)庫(kù)和防止Access數(shù)據(jù)庫(kù)被下載。參考了部分文章,加入了自己的一些看法。 攻: 一、發(fā)揮你的想象力,修改數(shù)據(jù)庫(kù)文件名,從理論上講不一定能防止被下載。修改數(shù)據(jù)庫(kù)名,其目的就是防止我們猜到數(shù)...
前言:網(wǎng)絡(luò)是沒(méi)有絕對(duì)全安的,這是一句經(jīng)典的名言,我也不用多說(shuō)了!
今天主要為大家演示一下,怎么下載Access數(shù)據(jù)庫(kù)和防止Access數(shù)據(jù)庫(kù)被下載。
參考了部分文章,加入了自己的一些看法。 攻: 一、發(fā)揮你的想象力,修改數(shù)據(jù)庫(kù)文件名,從理論上講不一定能防止被下載。修改數(shù)據(jù)庫(kù)名,其目的就是防止我們猜到數(shù)據(jù)庫(kù)而被下載。但是萬(wàn)一我們猜到數(shù)據(jù)庫(kù)名,就直接可以下載了。所以這不能保證100%不能被下載。猜解數(shù)據(jù)庫(kù)的常用的辦法就是寫(xiě)程序去猜解數(shù)據(jù)庫(kù)名,判斷WEB返回的是不是404錯(cuò)誤,如果提交一個(gè)MDB文件,沒(méi)有返回404錯(cuò)誤,那就猜對(duì)了,就直接下載。當(dāng)然這有一定的局限性,因?yàn)槿绻麛?shù)據(jù)庫(kù)名非常復(fù)雜。會(huì)產(chǎn)生大量的日志。管理員可能早發(fā)現(xiàn)了。并且還有猜解的時(shí)間會(huì)變得很長(zhǎng)。二:數(shù)據(jù)庫(kù)名后綴改為ASA、ASP等,不一定能防止被下載。IIS在通過(guò)asp.dll處理.asp擴(kuò)展名文件的時(shí)候,對(duì)以外的內(nèi)容,不做任何處理就直接輸出,但是MDB文件中如果沒(méi)有之類(lèi)的ASP標(biāo)實(shí)符,我們直接在IE中輸入U(xiǎn)RL返回在IE中的數(shù)據(jù),就是MDB文件的數(shù)據(jù),我們直接用FLASHGET之類(lèi)的軟件就可以下載,下載后改名這后就可以用了。
三: 數(shù)據(jù)庫(kù)名前加“#”,一定能防止被下載。有些人誤認(rèn)為: “只需要把數(shù)據(jù)庫(kù)文件前名加上#、然后修改數(shù)據(jù)庫(kù)連接文件(如conn.asp)中的數(shù)據(jù)庫(kù)地址。原理是下載的時(shí)候只能識(shí)別 #號(hào)前名的部分,對(duì)于后面的自動(dòng)去掉。”這樣是比較安全的。這只是對(duì)于一般的人無(wú)法下載。因?yàn)樗麄儾恢溃矝](méi)有去了解有關(guān)IE編碼的技術(shù)。在編碼中我們用%23來(lái)代替#號(hào)。所以我們?nèi)绻幸粋(gè)數(shù)據(jù)庫(kù)是: http://www.xxx.com/data/#datapro.mdb 我們直接在IE中輸入: http://www.xxx.com/data/%23datapro.mdb 就可以下載了:
四:加密數(shù)據(jù)庫(kù)。有些人認(rèn)為,把ACCESS數(shù)據(jù)庫(kù)進(jìn)行加密,就算得到數(shù)據(jù)庫(kù)他也沒(méi)有辦法得到里面的任何信息。這是一種錯(cuò)解。下載后,2秒鐘碼解出數(shù)據(jù)庫(kù)密碼。Access數(shù)據(jù)庫(kù)的加密機(jī)制是非常脆弱的。加密后數(shù)據(jù)庫(kù)系統(tǒng)通過(guò)將用戶(hù)輸入的密碼與某一固定密鑰進(jìn)行“異或”來(lái)形成一個(gè)加密串,并將其存儲(chǔ)在*.mdb文件從地址“&H42”開(kāi)始的區(qū)域內(nèi)。用程序可以輕松的寫(xiě)出破解代碼。網(wǎng)上已經(jīng)有這樣的程序了。現(xiàn)在我為大家推薦一款比較老,但非常實(shí)用的破解數(shù)據(jù)庫(kù)密碼程序:accesskey.exe
五:我們用特殊請(qǐng)求讓腳本解析出錯(cuò),得到數(shù)據(jù)庫(kù)路徑。在網(wǎng)絡(luò)上,有很多人直接采用以下代碼,來(lái)連接數(shù)據(jù)庫(kù),看: .... DB_Path = "Data/ABCD1234!@#1po.mdb" DB_String = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & Server.MapPath(DB_Path) Set Conn = Server.CreateObject("ADODB.Connection") Conn.Open DB_String .... 數(shù)據(jù)庫(kù)文件名也夠復(fù)雜了,用程序破解,我想是沒(méi)有人想去嘗試的。 像這樣的連接方式我們都可以直接取得他的數(shù)據(jù)庫(kù)路徑。由于這種方法危險(xiǎn)性太大了,知道本方法的人很少。這里不敢公布。一旦公布不知道有多少網(wǎng)站的數(shù)據(jù)庫(kù)會(huì)被下載。等以后看情況再說(shuō)吧。所以這里我只為大家提供臨時(shí)補(bǔ)丁。在Conn.Open DB_String上面加上一句話(huà): ON ERROR RESUME NEXT 就可以解決這個(gè)問(wèn)題
