改mdb為asp就能防下載技術的探討

下載

　　引子：昨天和animator實驗了一下，把data.mdb檔案改名為data.asp檔案後放在wwwroot目錄裡。然後在IE中輸入data.asp路徑後，發現IE顯示一片空白，右鍵->察看源檔案，跳出記事本，將內容另存新檔.mdb檔案 ，用ACCESS開啟，發現要求輸入密碼，也就是說至少檔案頭被破壞。然後用Flashget實驗下載data.asp檔案，並另存新檔data.mdb檔案，發現用ACCESS開啟完好無損！看來，好一些編程人員在開發的時候都認為，改了mdb尾碼為asp就能防下載的概念，是錯的！後台資料庫被下載對於一個asp+a ccess的網站來說無疑是一場慘絕人寰的災難。

　　1、發揮你的想象力 修改資料庫檔案名  

　　不用說，這是最最偷懶的方法，但是若攻擊者通過第三方途徑獲得了資料庫的路徑，就玩完了。比如說攻擊者本來只能拿到list權，結果意外看到了資料庫路徑，就可以冠冕堂皇地把資料庫下載回去研究了。另外，資料檔案通常大小都比較大，再隱形檔案名稱都瞞不了人。故保密性為最低。  

　　2、資料庫名尾碼改為ASA、ASP等  

　　此法須配合一些要進行一些設定，否則就會出現本文開頭的那種情況  

　　（1）二進位欄位添加（此招我還沒有煉成）

　　（2）在這個檔案中加入，IIS就會按ASP文法來解析，然後就會報告500錯誤，自然不能下載了。可是如果只是簡單的在資料庫的文本或者備忘欄位加入<%是沒用的，因為ACCESS會對其中的內容進行處理，在資料庫裡他會以 < %的形式存在，無效！正確的方法是將<%存入OLE對象欄位裡，這樣我們的目的就能達到了。

　　操作方法： 

    首先，用notepad建立一個內容為 <% 的文字檔，隨便起個名字存檔。  
　　接著，用Access開啟您的資料庫檔案，建立一個表，隨便起個名字，在表中添加一個OLE對象的欄位，然後添加一個記錄， 插入之前建立的文字檔，如果操作正確的話，應該可以看到一個新的名為"資料包＂的記錄。即可。  

　　3、資料庫名前加"#"  

　　只需要把資料庫檔案前名加上#、然後修改資料庫連接檔案（如conn.asp）中的資料庫地址。原理是下載的時候只能識別& nbsp;#號前名的部分，對於後面的自動去掉，比如你要下載：http://www.****.com/date/ 123.mdb(假設存在的話）。無論是IE還是FLASHGET等下到的都是http://www.*****.com/dat e/index.htm(index.asp、default.jsp等你在IIS設定的首頁文檔)   

　　另外在資料庫檔案名中保留一些空格也起到類似作用，由於HTTP協議對位址解析的特殊性，空格會被編碼為"%",如http ://www.test.com/date/123  ;456.mdb，下載的時http://www. test.com/date/123 %456.mdb。而我們的目錄就根本沒有123%456.mdb這個檔案，所 以下載也是無效的這樣的修改後，即使你暴露了資料庫地址，一般情況下別人也是無法下載！  

　　4、加密資料庫  

　　首先在選取"工具->安全->加密/解密資料庫，選取資料庫（如：employer.mdb），然後接確定，接 著會出現"資料庫加密後另存新檔"的視窗，存為：employer1.mdb。接著employer.mdb就會被編碼，然後存為 employer1.mdb..要注意的是，以上的動作並不是對資料庫設定密碼，而只是對資料庫檔案加以編碼，目的是為了防止他人使用別的工具來查看資料庫檔案的內容。  

　　接下來我們為資料庫加密，首先以開啟經過編碼了的employer1.mdb，在開啟時，選擇"獨佔"方式。然後選取功能表的"工具->安全->設定資料庫密碼"，& nbsp;接著輸入密碼即可。這樣即使他人得到了employer1.mdb檔案，沒有密碼他是無法看到employer1.mdb的。 

　　加密後要修改資料庫連接頁， 如：  
conn.open "driver={microsoft access driver&nb sp;(*.mdb)};uid=admin;pwd=資料庫密碼;dbq=資料庫路徑"  

　　這樣修改後，資料庫即使被人下載了，別人也無法開啟（前提是你的資料庫連接頁中的密碼沒有被泄露）

　　但值得注意的是，由於Access資料庫的加密機制比較簡單，即使設定了密碼，解密也很容易。該資料庫系統通過將使用者輸入的 密碼與某一固定密鑰進行"異或"來形成一個加密串，並將其儲存在*.mdb檔案從地址"&H42"開始的地區內。所以一 個好的程式員可以輕鬆製作一個幾十行的小程式就可以輕鬆地獲得任何Access資料庫的密碼。因此，只要資料庫被下載，其資訊安 全依然是個未知數。   

　　5.資料庫放在WEB目錄外或將資料庫連接檔案放到其他虛擬目錄下 

　　如你的WEB目錄是e:\webroot，可以把資料庫放到e:\data這個檔案夾裡，在e:\webroot裡的資料庫 串連頁中修改資料庫連接地址為："../data/資料庫名" 的形式，這樣資料庫可以正常調用，但是無法下載的，因 為它不在WEB目錄裡！這個方法一般也不適合購買虛擬空間的使用者。