試驗了一下,把data.mdb文件改名為data.asp文件后放在wwwroot目錄里。然后 在IE中輸入data.asp路徑后,發(fā)現(xiàn)IE顯示一片空白,右鍵->察看源文件,跳出記事本,將內(nèi)容另存為.mdb文件 ,用ACCESS打開,發(fā)現(xiàn)需要密碼,也就是說至少文件頭被破壞。
然后用Flashget試驗下載data.asp文件,并另存為data.mdb文件,發(fā)現(xiàn)用ACCESS打開完好無損!!!看 來,好一些編程人員在開發(fā)的時候都認為,改了mdb后綴為asp就能防下載的概念,是錯的!后臺數(shù)據(jù)庫被下載對于一個asp+a ccess的網(wǎng)站來說無疑是一場慘絕人寰的災(zāi)難。今天找了各方的文章,歸納一下有以下9種辦法防止數(shù)據(jù)庫被下載(歡迎補充):& nbsp;
1.發(fā)揮你的想象力 修改數(shù)據(jù)庫文件名
不用說,這是最最偷懶的方法,但是若攻擊者通過第三方途徑獲得了數(shù)據(jù)庫的路徑),就玩完了。比如說攻擊者本來只能拿到list權(quán) ,結(jié)果意外看到了數(shù)據(jù)庫路徑,就可以冠冕堂皇地把數(shù)據(jù)庫下載回去研究了。另外,數(shù)據(jù)文件通常大小都比較大,起再隱蔽的文件名都瞞 不了人。故保密性為最低。
2.數(shù)據(jù)庫名后綴改為ASA、ASP等
此法須配合一些要進行一些設(shè)置,否則就會出現(xiàn)本文開頭的那種情況
(1)二進制字段添加(此招我還沒有煉成-_-+)。
(2)在這個文件中加入<%或%>,IIS就會按ASP語法來解析,然后就會報告500錯誤,自然不能下載了。可是 如果只是簡單的在數(shù)據(jù)庫的文本或者備注字段加入<%是沒用的,因為ACCESS會對其中的內(nèi)容進行處理,在數(shù)據(jù)庫里他會以 < %的形式存在,無效!正確的方法是將<%存入OLE對象字段里,這樣我們的目的就能達到了。&nbs p;
作方法:
首先,用notepad新建一個內(nèi)容為 <% 的 文本文件,隨便起個名字存檔。
接著,用Access打開您的數(shù)據(jù)庫文件,新建一個表,隨便起個名字,在表中添加一個OLE對象的字段,然后添加一個記錄, 插入之前建立的文本文件,如果操作正確的話,應(yīng)該可以看到一個新的名為"數(shù)據(jù)包"的記錄。即可
3.數(shù)據(jù)庫名前加"#"
只需要把數(shù)據(jù)庫文件前名加上#、然后修改數(shù)據(jù)庫連接文件(如conn.asp)中的數(shù)據(jù)庫地址。原理是下載的時候只能識別& nbsp;#號前名的部分,對于后面的自動去掉,比如你要下載:http://www.pcdigest.com/date/# 123.mdb(假設(shè)存在的話)。無論是IE還是FLASHGET等下到的都是http://www.test.com/dat e/index.htm(index.asp、default.jsp等你在IIS設(shè)置的首頁文檔)
另外在數(shù)據(jù)庫文件名中保留一些空格也起到類似作用,由于HTTP協(xié)議對地址解析的特殊性,空格會被編碼為"%",如http ://www.test.com/date/123 ;456.mdb,下載的時http://www. test.com/date/123 %456.mdb。而我們的目錄就根本沒有123%456.mdb這個文件,所 以下載也是無效的這樣的修改后,即使你暴露了數(shù)據(jù)庫地址,一般情況下別人也是無法下載!
4.加密數(shù)據(jù)庫
首先在選取"工具->安全->加密/解密數(shù)據(jù)庫,選取數(shù)據(jù)庫(如:employer.mdb),然后接確定,接 著會出現(xiàn)"數(shù)據(jù)庫加密后另存為"的窗口,存為:employer1.mdb。接著employer.mdb就會被編碼,然后存為 employer1.mdb..要注意的是,以上的動作并不是對數(shù)據(jù)庫設(shè)置密碼,而只是對數(shù)據(jù)庫文件加以編碼,目的是為了防止他 人使用別的工具來查看數(shù)據(jù)庫文件的內(nèi)容。
接下來我們?yōu)閿?shù)據(jù)庫加密,首先以打開經(jīng)過編碼了的 e mployer1.mdb,在打開時,選擇"獨占"方式。然后選取功能表的"工具->安全->設(shè)置數(shù)據(jù)庫密碼",& nbsp;接著輸入密碼即可。這樣即使他人得到了employer1.mdb文件,沒有密碼他是無法看到 emplo yer1.mdb的。
加密后要修改數(shù)據(jù)庫連接頁, 如:
conn.open "driver={microsoft access driver&nb sp;(*.mdb)};uid=admin;pwd=數(shù)據(jù)庫密碼;dbq=數(shù)據(jù)庫路徑"
這樣修改后,數(shù)據(jù)庫即使被人下載了,別人也無法打開(前提是你的數(shù)據(jù)庫連接頁中的密碼沒有被泄露)
但值得注意的是,由于Access數(shù)據(jù)庫的加密機制比較簡單,即使設(shè)置了密碼,解密也很容易。該數(shù)據(jù)庫系統(tǒng)通過將用戶輸入的 密碼與某一固定密鑰進行"異或"來形成一個加密串,并將其存儲在*.mdb文件從地址"&H42"開始的區(qū)域內(nèi)。所以一 個好的程序員可以輕松制作一個幾十行的小程序就可以輕松地獲得任何Access數(shù)據(jù)庫的密碼。因此,只要數(shù)據(jù)庫被下載,其信息安 全依然是個未知數(shù)。
新聞熱點
疑難解答
圖片精選
