一对一免费咨询: 13913005726 025-66045668

今天下午,低一度博客受到攻击了,出现了大约一个小时的访问异常。庆幸的是,这帮无耻歹徒没能成功获取我的Access数据库,而只是象征性地给我注入了一些东西。也不知道他们是怎样注入的!想想的确不容小视这帮混蛋!不过没关系,低一度的数据库目前足够安全。利用这个机会,我们就来谈一谈这个问题。

大家都知道,Asp程序使用得最多的数据库类型就是Access,如PJ-Blog、Z-Blog等。这是因为Access数据库简单小巧,直接上传到服务器上就可以用了。尽管简便,然而Access也有不足之处,其中比较伤脑筋的便是其安全性问题。大部分黑客攻击此类Asp站点,就是从获取Access数据库开始的。所以,怎样有效防范Access数据库被恶意下载,成了建站中首当其冲的话题。这里,低一度结合自己的经验、实例及一些网上搜罗来的资料,向大家介绍几企业官网建设种相对有效的防范措施,希望对大家会有帮助(当然,用不着最好)。

防范措施一:将数据库文件名命名得尽可能地复杂

这是最最偷懒的方法了!所以,这个法子的安全指数也并非最高。若攻击者通过第三方途径获得了数据库的路径,你就玩完了。比如说我本来只能拿到list权,结果意外看到了你的数据库路径,那我便可冠冕堂皇地把数据库下载回去研究了。另外,数据文件通常大小都比较大,取再隐蔽的文件名也瞒不了人。呵呵,所以此法我并不提倡。

防范措施二:修改数据库名后缀为Asa或Asp等格式

这一做法,安全指数相对第一种行为会高一些,但同样存在着隐患。它必须配合一些必要的设置进行,如:在数据库文件中加入%或%标签,这样,IIS才会按Asp语法来解析,然后报告500错误,使歹徒无法下载。可是,假如只是简单地在数据库的文本或备注字段中加入%是起不到作用的,因为Access会对其中的内容进行处理,在数据库里它会以 %的形式存在,无效哦!正确的方法应该是将%存入OLE对象字段里,这样我们的防范目的才能达到。

操作方法如下:先用notepad新建一个内容为%的文本文件,然后随便取个名字存档。接着,用Access打开你的数据库文件,新建一个表,随便取个什么名字,然后在表中添加一个OLE对象的字段,并添加一条记录,插入之前建立的文本文件,要是操作正确,便可以看到一个新的名为数据包的记录。可以了!

防范措施三:在数据库名称前加上#等特殊符号

在数据库文件名之前加上#等特殊符号、然后修改数据库连接文件(如c_custom.asp)中的数据库地址,也可以起到不错的保护作用。原理是:当歹徒下载的时候,浏览器或下载工具将只能识别#符号前的部分地址,而对于#后面的名将自动去除。举个例子,假设你要下载:http://www.diyidu.cn/date/#123.mdb(如果存在的话),当你输入该地址回车,此时无论是Ie还是Flashget等,下载到的将都是http://www.diyidu.cn/date/index.htm(index.asp、default.jsp等你在IIS设置的首页文档)。

另外,在数据库文件名中保留一些空格也能起到类似作用,由于Http协议对地址解析的非凡性,空格会被编译为%,比如你要下载:http://www.diyidu.cn/date/123 456.mdb(123与456之间是个空格),当你输入该地址回车,此时你下载到的将是http://www.diyidu.cn/date/123锦州网站建设公司%456.mdb。而我们的目录中,根本就没有123%456.mdb这个文件,所以下载也是无效的。经过这样的修改以后,即使你暴露了数据库地址,一般情况下别人也无法下载得到。所以,这项措施的安全指数较之前两法,有更高了一筹。

防范措施四:为你的Access数据库加密

选取工具-》安全-》加密/解密数据库,选取数据库(如:ABC.mdb),然后按确定,接着会出现数据库加密后另存为的窗口,另存为:ABC1.mdb,接着原数据库ABC.mdb就会被编码,然后另存为ABC1.mdb。注意,以上动作并不是对数据库设置密码,而是对数据库文件加以编码,目的是为了防止他人使用查看工具来查阅数据库文件中的内容。接下来的操作是:首先打开经过编码了的ABC1.mdb,在打开时,选择独占方式。然后选取功能表中的工具-》安全-》设置数据库密码, 接着输入密码即可。这样即使他人得到了ABC1.mdb文件,没有密码也是无法看到ABC1.mdb的。最后,记得加密完要同步修改数据库连接文件哦!

一点小说明:由于Access数据库的加密机制相对简单,即使设置了密码,解密也很轻易。只要数据库被下载了,其信息安全依然是个未知数。所以,此法也不是最佳。

防范措施五:将数据库放在Root目录以外或将数据库连接文件放到其他虚拟目录下

这个方法是低一度目前正在使用的,强烈推荐之。比方说,你的WEB目录是D:\wwwroot,那么你可以将数据库放到D:\databases这个文件夹里,然后修改D:\wwwroot里的数据库连接文件,将数据库连接地址修改为:../databases/数据库名 的形式,这样数据库也可以正常调用,但是就无法下载了,因为它不存在于wwwroot目录里!这个方法一般不适合于购买虚拟主机的用户。当然,现在的多数虚拟主机程序在wwwroot目录平行位置,已经都有独立的databases目录了,这样子处理后相对来说是最安全的。因为在http环境下,根本没有url可以指向这朝阳网站建设公司个目录。除非黑了整台主机!

防范措施六:学会使用ODBC数据源。

在ASP等程序设计中,假如技术条件允许,应当尽量使用ODBC数据源,不要将数据库名写进程序中,否则,数据库名将跟随Asp源代码一同失密,即使你的数据库名字起得再怪异,隐藏的目录再深,也可能很轻易被下载下来。假如使用了ODBC数据源,就不会存在这样的问题了:conn.open ODBC-DSN名 ,不过这样是比较繁琐的,目录移动的话就要重新设置,更方便的方法请看下面吧!使用ODBC数据源处理的结果有一点不好,就是效率很低,速度会变慢,迁移也不方便。因此虽然安全,也不提倡。

防范措施七:添加数据库名的扩展映射

这个方法就是通过修改IIS设置来实现的,适合有IIS控制权的同学使用,不适合购买虚拟主机的用户(除非技术已经设置了)。但这个方法我认为是目前最好最可靠的。只要修改一处,整个站点的数据库都可以防止被下载,而无须修改代码,即使暴露目标地址也无妨。

操作:在IIS属性主目录配置映射应用程序扩展那里添加如.mdb文件的企业网站版面设计应用解析。注意,这里的选择的DLL(或EXE等)似乎也不是任意的,选择不当,这个MDB文件还是可以被下载的,最好不要选择asp.dll等。你可以自己多测试几下。经过这样的修改后,下载数据库如:http://www.diyidu.cn/data/123.mdb,就会出现404或500等错误。

防范措施八:懂得利用.net的优越性

动网的木鸟就写过一个防非法下载文件的WBAL防盗链工具。不过它只实现了防非本地下载的,没有起到真正的防下载数据库的功能。但这个方法已经跟措施五差不多,可以通过修改.NET文件,实现本地也不能下载!

最后总结:这几个措施中,只有七和八是统一性改的,一次修改配置后,整个站点的数据库都可以防下载,其他的几个措施就要分别修改数据库名和数据库连接文件了,比较麻烦,不过对于使用虚拟主机的朋友而言,也只能这样了!另外,其实第六个措施应该是第五个措施的扩展,可以实现非凡的功能,但如果对不支持.net的主机或怕设置麻烦的人而言,还是直接用第五种措施好了。OK,就这些吧!

原文地址:http://www.diyidu.cn/post/access_safe.html


 


 南京牧狼文化传媒有限公司简介:


      牧狼传媒,牧者之心,狼者之性,以牧之谦卑宽容之心待人,以狼之团结无畏之性做事!


  公司注册资金100万,主营众筹全案服务、网站营销全案服务、网站建设、微信小程序开发、电商网店设计、H5页面设计、腾讯社交广告投放以及电商营销推广全案等相关业务,致力于为客户提供更有价值的服务,创造让用户满意的效果!


  为百度官方及其大客户、苏宁易购、金山WPS秀堂、美的、创维家电、新东方在线、伊莱克斯、宝丽莱等国内国外知名品牌服务过,服务经验丰富!同时,公司也是南京电子商务协会会员单位、猪八戒网官方认证签约服务商、江苏八戒服务网联盟、南京浦口文化产业联合会会员单位,可以为您提供更好的服务!


  主营项目:众筹全案服务、网站营销全案服务、网站建设、微信小程序开发、电商网店设计、H5页面设计、腾讯社交广告投放、竞价托管、网站优化、电商代运营等


  合作客户:百度、苏宁易购、饿了么、美的、创维家电、新东方在线、宝丽莱、金山WPS秀堂、伊莱克斯


  资质荣誉:百度商业服务市场2017年度最佳图片服务商、南京电子商务协会会员单位、猪八戒网官方认证签约服务商、江苏八戒服务网联盟、南京浦口文化产业联合会会员单位、八戒通TOP服务商、"易拍即合杯"H5创意大赛"三等奖"。



致力于为客户创造更多价值
13913005726 025-66045668
需求提交
电话咨询
在线咨询