액세스 데이터베이스 보안 공격 및 방어 전략

머리말: 네트워크에 절대적으로 안전 하지 않습니다, 그리고 이것은 고전적인 유명한 말, 나 또한 필요 하지 더 이상 말! 오늘 우리가 보여주지 Access 데이터베이스를 다운로드 하 고 Access 데이터베이스 다운로드 하는 것을 방지 하는 방법. 공격: 첫째, 당신의 상상력을 재생, 데이터베이스 파일 이름 수정, 이론적으로 반드시 방지 데이터베이스 이름을 수정 하려면 다운로드 목적은 데이터베이스 다운로드를 추측 하지 못하도록. 하지만 우리가 짐작 데이터베이스 이름, 경우에 우리가 직접 다운로드할 수 있다. 그래서이 100%를 다운로드할 수 없습니다 보장 하지 않습니다. 데이터베이스를 해결 하는 일반적인 방법은 MDB 파일의 제출 404 오류를 반환 하지 않은 경우, 직접 다운로드를 짐작 웹 404 오류를 반환 되는지 확인 하려면 데이터베이스 이름을 추측 하는 프로그램을 작성 하는 것 같아요. 물론, 이것은 몇 가지 제한이 있기 때문에 데이터베이스 이름이 매우 복잡 한 경우. 많은 로그를 생성합니다. 관리자 수 있습니다 발견 했습니다 그것은 이전. 그리고 솔루션을 추측 하는 시간이 매우 긴 될 것입니다. 둘째: 데이터베이스 이름 접미사 ASA, ASP, 그리고 수 없습니다는 Asp.dll 처리. asp 확장명 파일에 IIS의 다운로드를 방지 하기 위해, 경우 같은 ASP 기호 없음, 콘텐츠 직접 출력 하지만 MDB 파일에 어떤 처리를 수행 되지 않습니다. IE 데이터를 반환 하는 URL을 입력 하는 IE에서 직접 우리 MDB 파일 데이터, 우리가 직접 다운로드는 이름이 바뀐이 사용할 수 있습니다 후 후 FlashGet 다운로드 수와 같은 소프트웨어를 사용. 셋째: 데이터베이스 이름과 "#", 수 있어야 합니다 어떤 사람들은 잘못 생각 하는 다운로드를 방지 하기 위해: "#, 하기 전에 데이터베이스 파일의 이름을 추가 하 고 다음 데이터베이스 주소에서 데이터베이스 연결 파일 (예: conn.asp)을 수정 합니다." 원리는 다운로드만 자동 제거의 뒷면에 대 한 #号前名的部分를 식별할 수 있습니다. "그것은 안전 합니다. 이것은 단지 평범한 사람들이 다운로드할 수 없습니다. 그들은 모르기 때문에 또한 가지 않았다 IE 코딩 기술을 이해 하. 코드에서 사용 하 여 %23来 # 번호. 그래서 만약 우리가 데이터베이스: http://www.xxx.com/data/#datapro. mdb 우리가 IE에서 직접 입력: Http://www.xxx.com/data/%23datapro.mdb 당신은 다운로드할 수 있다: 4: 암호화 된 데이터베이스 데이터베이스에 내부 정보를 얻을 수 없습니다 경우에 데이터베이스 암호화에 액세스 하는 어떤 사람들 믿는다. 이것은 잘못 된 솔루션 이다. 다운로드 후, 2 초는 데이터베이스 암호를 해결 하기 위해 코드. Access 데이터베이스에 대 한 암호화 메커니즘은 매우 깨지기 쉬운입니다. 암호화 후 데이터베이스 시스템 "XOR" 고정된 키로 사용자가 입력 한 암호에 의해 암호화 된 문자열을 형성 하 고 *.mdb 파일 주소에서 시작 하는 영역에 저장 "& h42". 프로그램을 사용 하 여 쉽게 균열 코드를 작성할 수 있습니다. 이미 웹에서 프로그램 있다. 상대적으로 오래 된, 하지만 매우 실용적인 데이터베이스 암호 프로그램을 부를 것이 좋습니다 지금: Accesskey.exe 5: 우리스크립트 오류 특별 한 요청을 구문 분석 하 여 데이터베이스 경로 얻을 수 있습니다. 네트워크에는 많은 사람들이 직접 참조는 데이터베이스를 연결 하려면 다음 코드를 사용 하 여:... Db_path = "데이터/abcd1234! @ #1po. mdb" db_string = "Provider=Microsoft.Jet.OLEDB.4.0;Data 소스 =" & Server.MapPath ( Db_path) 세트 챔피언 = Server.CreateObject ("ADODB. 연결 ") Conn.Open db_string... 데이터베이스 파일 이름은 또한 균열을 프로그램으로, 복잡 한, 아무도 시도 하 고 싶어. 우리 모두이 같은 그의 데이터베이스 경로를 직접 액세스를 얻을 수 있습니다. 이 방법은 너무 위험 하기 때문에이 방법을 알고 몇 사람이 있다.입니다. 그것은 여기 발표 하지 것 이다. 을 게시 한 후 데이터베이스를 다운로드할 것 이다 얼마나 많은 사이트 몰라. 나중까지 기다려 라. 그래서 여기만 임시 패치를 제공합니다. Conn.Open db_string에 단어 추가: 문제를 해결 하기 위해 오류 RESUME NEXT에. 특히 우리는 데이터베이스를 다운로드 하는 방법 소개. 여기 몇 가지 방법으로 데이터베이스 다운로드 하지 않도록 하려면 설명 하겠습니다. 하나, 가상 호스트를 사용 하는: 먼저 귀하의 MDB 파일 빌드는 테이블입니다. 테이블을 걸립니다 필드: Notdownload 바. 테이블 이름에서 필드를 빌드하십시오. 입력 필드: 오, 다음 데이터베이스를 변경 하 고. ASP입니다. 왜 이름을 당신은 사실 = '는 '-1 여기 임의로 입력할 수로 그것은 라인에 올바른 ASP 문을. 그것은 확장을 변경 하기 때문에. 때 ASP IE에 입력 됩니다. 만난 그 사이의 코드를 설명할 것입니다, 그를 그것을 설명 하자. Hehe 잘못 될 것입니다, 데이터베이스 올바르게 다운로드 하지 것 이다 그래서 당신은 그것은 안전? 아, 그것은 안전 하지 않습니다. 우리는 또한 데이터베이스 이름 앞에 # 번호를 추가 해야 합니다. 예: #Data. asp # 번호 여기 다운로드를 방지 하기 위해 사용 되지 않습니다. 다운로드를 방지 하는 과정을 설명 하고있다. 때 여러 MDB 파일을 같은 디렉토리에 같이 넣어: (보안상의 이유로 발표 되지) 웹사이트 전체 역 시스템. 만약 우리가 관리자 MDB 파일의 위치를 짐작 하 고 다른 시스템에서 SQL 주입 취약점을가지고, 우리 전체 라이브러리 쿼리에서 액세스의 접근을 걸릴 수 있습니다. 관리자가 라이브러리에 레코드를 얻으려면. 우리는 당신이 그것을 짐작 하는 경우에 라이브러리 이름 앞에 # 숫자를 추가, 우리는 제출 두려워: 선택 * D:\web\data\ #data. Asp.admin SQL 쿼리 문에서 프롬프트가 오류가. # Sql에서 날짜를 나타내는의 효과가 있기 때문에 구문. 구문 오류가 것입니다 하지 이동 실행 쿼리 조건. (hehe, 성공적으로 공격 하는 라이브러리 메서드를 접근을 사용 하 여이 웹사이트에 허점은 여전히!) 안전한 데이터베이스 # 파일 이름 해야한다 고 생각. ASP 및 임시 테이블의 설립, 테이블 필드 입력된 ASP 코드를, 그래서 있다 ASP 올바른 설명 되지 않을 수 있습니다. 둘째, 당신이 사용 하는 호스트 호스트 소유권:이 다운로드 방법은 너무 좋은 할. 오, 당신의 데이터베이스에에서 넣어 IIS 이외의 디렉터리. 죽 여 줘 요, 그리고 난 할 수 없어. 처럼 D:\Web\WebSite 디렉토리에 귀하의 웹 디렉토리. 그런 다음 D:\Web\Data 디렉터리에, 물론, 일부는 현재 가상 호스트의 데이터베이스를 유지 하지만 또한 전용된 데이터 디렉터리를 제공 합니다. 셋째, 설정 파일 IIS, 오른쪽 키 속성에 데이터베이스에서에서 없습니다 다운로드할 수 있습니다. 설정 파일을 닫는 읽기이 문서 읽을 수 없습니다 당신이 어떻게 느끼는지, 연습만 진실의 있을 것입니다. 책임 편집자 Zhaoyi zhaoyi#51cto.com 전화: (010) 68476636-8001 (0 표)를 강제로 유혹 (0 표) 넌센스 (0 표) 전문가 (0 표) 제목 파티 (0 표) 전달 (0 표) 원래 텍스트: 액세스 데이터베이스 보안 방어 전략 홈 네트워크 보안에 반환