如何防範網站資料庫入侵

搜狐、163、雅虎等都是眾線民經常光顧的大型入口網站，這些網站提供的搜尋引擎服務最受大家的青睞。 可是恰恰是這些搜尋引擎為駭客大開方便之門，許多駭客可以利用搜尋引擎很容易地得到一個網站的資料庫，從而得到網站的管理帳號和密碼，並可以控制到整個網站的管理權。 這樣一來，一些保存在資料庫裡只有管理員才能看到的機密檔就被洩露出來。 其實通過搜尋引擎入侵網站過程十分簡單，瞭解了入侵的方法，也就可以知道如何解決問題。 那麼防範的具體方法到底是怎麼樣的呢？ 首先從入侵者角度著手，分析一段代碼： 〈％connstr=「DBQ=「+server.mappath(「data/data.mdb」)+」；DefaultDir=；DRIVER={Microsoft Access Driver (*.mdb)} ；」 set conn=server.createobject(「ADODB. CONNECTION」) conn.open connstr %〉 以上是一段ASP的調用資料庫的代碼，其中「+server.mappath(「data/data.mdb」)+」起到設定資料庫位置的作用。 從中不難看出這個網站的資料庫在dada目錄中的data.mdb檔中。 很多大型網站的搜尋引擎中，有一個強大的功能，就是可以搜索未在本搜尋引擎註冊過的網頁。 利用這個功能，讓我們來搜索「server.mappath」這個欄位。 結果得到的結果是： [無標題文檔] ......=「+server.mappath(「.. /up/mucal/calp.mdb」)+」；DefaultDir=；DRIVER={Microsoft Access Driver (*.mdb)}；」 set conn=...... -（網址：略） 這樣， 使用者就會得到很多帶有資料庫位置資訊的搜尋結果。 但結果中會存在一些水分，而且範圍太大。 如果使用者只想得到某一個網站的代碼該怎麼辦呢？ 其實這個也很簡單，搜尋引擎通常帶有多關鍵字查詢功能，只要在所要搜索的兩個關鍵字中間輸入一個「+」就可以了。 比如使用者要查找有關于電腦世界網站中關於網路安全的所有網頁，只要使用者在搜尋引擎中鍵入「電腦世界+網路安全」即可。 同樣，使用者可以用這個方法來解決上面的那個問題。 如果使用者要得到某一個程式的資料庫，比如這個程式的名字是《小牛江湖》，那麼使用者在搜尋引擎中搜索「小牛江湖+ server.mappath」就可以得到下面的結果： [小牛江湖] ......=「+server.mappath(「.. /xajh/data/mycalf.mdb」)+；DefaultDir=；DRIVER={Microsoft Access Driver (*.mdb)}；」 set conn=...... -（網址：www.mycalf.com/xajh /index.asp） 此時，這個程式的資料庫位置便一目了然：/xajh/data/mycalf.mdb。 接下來使用者把這個資料庫下載下來，用相應的資料庫軟體打開，就可以得到其中的內容。 利用這個漏洞還可以得到mssql server的口令，甚至可以進一步的去管理對方的整個伺服器。 天下有矛就該有盾。 這個被別人利用搜尋引擎得到網站資料庫的問題可以用許多方法化解，最有效的方法之一就是隱藏這段語句，利用調用其他檔的方法來實現調用資料庫。 首先需要建立一個內容為〈％ connstr=「DBQ=「+server.mappath(「data/data.mdb」)+」；DefaultDir=；DRIVER={Microsoft Access Driver (*.mdb) }；」 set conn=server.createobject(「ADODB. CONNECTION」) conn.open connstr %>的ASP檔。 比如把這個檔命名為dbconn.asp。 這樣只要在需要調用資料庫的ASP檔中加入!--#include file=「dbconn.asp」-->就可以實現資料庫的調用。 如此，便實現了調用語段的隱藏，解決了被他人利用搜尋引擎得到網站資料庫的問題。 　 責任編輯 趙毅 zhaoyi#51cto.com TEL:（010）68476636-8001 給力(0票)動心(0票)廢話(0票)專業(0票)標題党(0票)路過(0票) 原文：如何防範網站資料庫入侵 返回網路安全首頁