数据安全防护之打造安全.mdb数据库
什么是mdb数据库呢?凡是有点制作网站经验的网络管理员都知道,目前使用“IIS+ASP+ACCESS”这套组合方式建立网站是最流行的,大多数中小型Internet网站都使用该“套餐”,但随之而来的安全问题也日益显著。其中最容易被攻击者利用的莫过于mdb数据库被非法下载了。
mdb数据库是没有安全防范的,只要入侵者猜测或者扫描到mdb数据库的路径后就可以使用下载工具轻松将其下载到本地硬盘,再结合暴力破解工具或一些超级破解工具可以轻松的查看里头的数据库文件内容,企业的隐私和员工的密码从此不在安全。难道我们就没有办法加强mdb数据库的安全吗?难道即便我们只有一点点数据资料也要麻烦sql server或者oracle吗?答案是否定的,本篇文章笔者将告诉大家打造安全的mdb数据库文件的独门秘诀。
一、危机起因:
一般情况下基于ASP构建的网站程序和论坛的数据库的扩展名默认为mdb,这是很危险的。只要猜测出了数据库文件的位置,然后在浏览器的地址栏里面输入它的URL,就可以轻易地下载文件。就算我们对数据库加上了密码并且里面管理员的密码也被MD5加密,被下载到本地以后也很容易被破解。毕竟目前MD5已经可以通过暴力来破解了。因此只要数据库被下载了,那数据库就没有丝毫安全性可言了。
二、常用的补救方法:
目前常用的数据库文件防止被非法下载的方法有以下几种。
(1)把数据库的名字进行修改,并且放到很深的目录下面。比如把数据库名修改为Sj6gf5.mdb,放到多级目录中,这样攻击者想简单地猜测数据库的位置就很困难了。当然这样做的弊端就是如果ASP代码文件泄漏,那无论隐藏多深都没有用了。
(2)把数据库的扩展名修改为ASP或者ASA等不影响数据查询的名字。但是有时候修改为ASP或者ASA以后仍然可以被下载,比如我们将其修改为ASP以后,直接在IE的地址栏里输入网络地址,虽然没有提示下载但是却在浏览器里出现了一大片乱码。如果使用FlashGet或影音传送带等专业的下载工具就可以直接把数据库文件下载下来。不过这种方法有一定的盲目性,毕竟入侵者不能确保该文件就一定是MDB数据库文件修改扩展名的文件,但是对于那些有充足精力和时间的入侵者来说,可以将所有文件下载并全部修改扩展名来猜测。该方法的防范级别将大大降低。
三、笔者的旁门左道:
在笔者的测试过程中就遇到了ASP和ASA文件也会被下载的问题,所以经过研究发现了以下的方法。
如果在给数据库的文件命名的时候,将数据库文件命名为“#admin.asa”则可以完全避免用IE下载,但是如果破坏者猜测到了数据库的路径,用FlashGet还是可以成功地下载下来,然后把下载后的文件改名为“admin.mdb”,则网站秘密就将暴露。所以我们需要找到一种FlashGet无法下载的方法,但是如何才能让他无法下载呢?大概是因为以前受到unicode漏洞攻击的缘故,网站在处理包含unicode码的链接的时候将会不予处理。所以我们可以利用unicode编码(比如可以利用“%3C ”代替“<”等),来达到我们的目的。而FlashGet在处理包含unicode码的链接的时候却“自作聪明”地把unicode编码做了对应的处理,比如自动把“%29”这一段unicode编码形式的字符转化成了“(”,所以你向FlashGet提交一个 http://127.0.0.1/xweb/data/%29xadminsxx.mdb的下载链接,它却解释成了http://127.0.0.1/xweb/data/(xadminsxx.mdb,看看我们上面的网址的地方和下面的重命名的地方是不同的,FlashGet把“%29xadminsxx.mdb”解释为了“(xadminsxx.mdb”,当我们单击“确定”按钮进行下载的时候,它就去寻找一个名为“(xadminsxx.mdb”的文件。也就是说FlashGet给我们引入了歧途,它当然找不到,所以提示失败了。
不过如果提示下载失败,攻击者肯定要想采取其他的攻击方法。由此我们可以采用另一个防范的方法,既然FlashGet去找那个名为“(xadminsxx.mdb”的文件了,我们可以给它准备一个,我们给它做一个仿真的数据库名为“(xadminsxx.mdb”,这样当入侵者想下载文件的时候的的确确下载了一个数据库回去,只不过这个数据库文件是虚假的或者是空的,在他们暗自窃喜的时候,实际上最终的胜利是属于我们的。
总结:
通过本次旁门左道保护MDB数据库文件方法的介绍,我们可以明确两点安全措施,一是迷惑法,也就是将黑客想得到的东西进行改变,例如改变MDB文件的文件名或者扩展名;二是替代法,也就是将黑客想得到的东西隐藏,用一个没有实际意义的东西替代,这样即使黑客成功入侵,拿到的也是一个虚假的信息,他们还会以为入侵成功而停止接下来的攻击。
数据安全防护之打造安全.mdb数据库相关推荐
- 如何建立“开箱即用”的数据安全防护系统 | 专家对话
2019年,多起重大数据泄露事件几乎席卷全球用户.从上半年的苹果iOS 12.1重大漏洞曝光导致FaceTime通话可被窃听,到以"注重隐私"为卖点的美国邮件服务提供商 VFEma ...
- 5G数据安全防护白皮书
目 录 一. 5G 数据安全概述 1 (一) 5G 为数据带来新特征 1 (二) 5G 数据安全的研究目标 2 二. 5G 数据安全面临的挑战与风险 2 (一) 5G 数据安全挑战 2 (二) 5G ...
- 收藏!企业数据安全防护5条建议
引言:数据安全对企业生存发展有着举足轻重的影响,数据资产的外泄.破坏都会导致企业无可挽回的经济损失和核心竞争力缺失,而往往绝大多数中小企业侧重的是业务的快速发展,忽略了数据安全重要性.近年来,企业由于 ...
- 三家企业“支招”,数据安全防护指南来了!
<中智观察>第1606篇推送 作者:雨涵 编辑:小瑞瑞 头图来源:摄图网 2021年7月,滴滴因存在严重违法违规收集使用个人信息问题,被多部门进驻联合审查引发热议:去年8月,阿里云用户注册 ...
- 行业应用 |从实践中读懂银行的敏感数据安全防护思路
银行业作为数据密集型行业,在开展金融业务的过程中,不仅掌握了大量的个人金融信息,也收集了人脸.身份信息等个人敏感信息.随着数字化转型的推进和"后疫情时代"线上服务能力的升级,金融业 ...
- DTCC2022 | openGauss打造企业级开源数据库,服务行业核心系统
2022年12月14日~16日,第13届中国数据库技术大会(DTCC2022)在线上隆重召开. 大会以"数据智能 价值创新"为主题,重点围绕时序数据库.图数据技术.实时数仓技术与应 ...
- Chinasec构建证券业数据安全防护体系
Chinasec构建证券业数据安全防护体系 (来源:PChome) 证券业作为金融系统的重要分支,大量的核心数据与国计民生有着举足轻重的牵绊,近几年,不断有证券行业网络被"***& ...
- 大型国有银行数据安全防护案例
金融行业一直走在信息化道路的第一线,各项业务与信息系统结合颇深,同时又较早实现了数据集中化管理,数据交互.调用类场景发生频繁.业务的多样化.服务的开放化等也使得应用越来越复杂,这也将导致出现技术脆弱性 ...
- ACCESS MDB数据库记录误删除恢复
一MDB数据库,误删除一些重要记录,用市面上一些工具软件均无法找到,通过表的固定记录结构,从库中(缓冲或临时区)提取数据,筛选后恢复数据. 这几天太忙了,先只记个大概吧. 转载于:https://bl ...
最新文章
- 我的很长(源码),你忍一下!
- 零空间,Markov‘s inequality, Chebyshev Chernoff Bound, Union Bound
- cuid卡写入后锁死_CUID卡,CUID白卡,CUID门禁卡,CUID电梯卡,CUID可改写卡
- echart 三维可视化地图_Echarts百度可视化图形库
- 通过日志审计追踪外部***
- php调用文章至首页,WP如何在首页调用分类文章列表的详细教程
- Gradle sync failed: Unsupported method: NativeArtifact.getSourceFolders().
- STM32电机库5.4开源注释 KEIL工程文件 辅助理解S STM32电机库5.4开源注释
- java Object数组转为int类型数组
- mysql三表联合查询_求三表联合查询的SQL查询语句
- 联想电脑关闭HotKey (热键模式),使用快捷功能时才需按Fn
- 一年级上册计算机教学计划,一年级信息技术上册教学计划一年级信息技术教学计划...
- 微博第三方+海外国际版+V2EX第三方
- Python小黄人绘制
- Eclipse3.5中安装maven插件出现“ the -vm option in eclipse.ini is pointing to a JDK”解决
- c语言顺时针打印数组,顺时针打印数组
- 【转】王怡 自由主义的书单
- 『PyTorch』学习笔记 2 —— 模型 Finetune
- 浏览器全屏和pc显示器全屏
- webstorm运行ts/typescript文件时 出现中文乱码