資料安全防護之打造安全.mdb資料庫
來源:互聯網
上載者:User
關鍵字
資料安全
mdb資料庫
什麼是mdb資料庫呢? 凡是有點製作網站經驗的網路系統管理員都知道,目前使用「IIS+ASP+ACCESS」這套組合方式建立網站是最流行的,大多數中小型Internet網站都使用該「套餐」,但隨之而來的安全問題也日益顯著。 其中最容易被攻擊者利用的莫過於mdb資料庫被非法下載了。 mdb資料庫是沒有安全防範的,只要入侵者猜測或者掃描到mdb資料庫的路徑後就可以使用下載工具輕鬆將其下載到本地硬碟,再結合暴力破解工具或一些超級破解工具可以輕鬆的查看裡頭的資料庫檔案內容, 企業的隱私和員工的密碼從此不在安全。 難道我們就沒有辦法加強mdb資料庫的安全嗎? 難道即便我們只有一點點資料資料也要麻煩sql server或者oracle嗎? 答案是否定的,本篇文章筆者將告訴大家打造安全的mdb資料庫檔案的獨門秘訣。 一、危機起因: 一般情況下基於ASP構建的網站程式和論壇的資料庫的副檔名預設為mdb,這是很危險的。 只要猜測出了資料庫檔案的位置,然後在瀏覽器的網址列裡面輸入它的URL,就可以輕易地下載檔案。 就算我們對資料庫加上了密碼並且裡面管理員的密碼也被MD5加密,被下載到本地以後也很容易被破解。 畢竟目前MD5已經可以通過暴力來破解了。 因此只要資料庫被下載了,那資料庫就沒有絲毫安全性可言了。 二、常用的補救方法: 目前常用的資料庫檔案防止被非法下載的方法有以下幾種。 (1)把資料庫的名字進行修改,並且放到很深的目錄下面。 比如把資料庫名修改為Sj6gf5.mdb,放到多級目錄中,這樣攻擊者想簡單地猜測資料庫的位置就很困難了。 當然這樣做的弊端就是如果ASP代碼檔洩漏,那無論隱藏多深都沒有用了。 (2)把資料庫的副檔名修改為ASP或者ASA等不影響資料查詢的名字。 但是有時候修改為ASP或者ASA以後仍然可以被下載,比如我們將其修改為ASP以後,直接在IE的網址列裡輸入網路位址,雖然沒有提示下載但是卻在瀏覽器裡出現了一大片亂碼。 如果使用FlashGet或影音傳送帶等專業的下載工具就可以直接把資料庫檔案下載下來。 不過這種方法有一定的盲目性,畢竟入侵者不能確保該檔就一定是MDB資料庫檔案修改副檔名的檔,但是對於那些有充足精力和時間的入侵者來說,可以將所有檔下載並全部修改副檔名來猜測。 該方法的防範級別將大大降低。 三、筆者的旁門左道: 在筆者的測試過程中就遇到了ASP和ASA檔也會被下載的問題,所以經過研究發現了以下的方法。 如果在給資料庫的檔命名的時候,將資料庫檔案命名為「#admin.asa」則可以完全避免用IE下載,但是如果破壞者猜測到了資料庫的路徑,用FlashGet還是可以成功地下載下來,然後把下載後的檔改名為「 admin.mdb」,則網站秘密就將暴露。 所以我們需要找到一種FlashGet無法下載的方法,但是如何才能讓他無法下載呢? 大概是因為以前受到unicode漏洞攻擊的緣故,網站在處理包含unicode碼的連結的時候將會不予處理。 所以我們可以利用unicode編碼(比如可以利用「%3C 」代替「<」等),來達到我們的目的。 而FlashGet在處理包含unicode碼的連結的時候卻「自作聰明」地把unicode編碼做了對應的處理,比如自動把「%29」這一段unicode編碼形式的字元轉化成了「(」,所以你向FlashGet提交一個 HTTP ://127.0.0.1/xweb/data/%29xadminsxx.mdb的下載連結,它卻解釋成了HTTP://127.0.0.1/xweb/data/ (xadminsxx.mdb,看看我們上面的網址的地方和下面的重命名的地方是不同的,FlashGet把「%29xadminsxx.mdb」解釋為了「(xadminsxx.mdb」,當我們按一下「確定」按鈕進行下載的時候, 它就去尋找一個名為「(xadminsxx.mdb」的檔。 也就是說FlashGet給我們引入了歧途,它當然找不到,所以提示失敗了。 不過如果提示下載失敗,攻擊者肯定要想採取其他的攻擊方法。 由此我們可以採用另一個防範的方法,既然FlashGet去找那個名為「(xadminsxx.mdb」的檔了,我們可以給它準備一個,我們給它做一個模擬的資料庫名為「(xadminsxx.mdb」, 這樣當入侵者想下載檔案的時候的的確確下載了一個資料庫回去,只不過這個資料庫檔案是虛假的或者是空的,在他們暗自竊喜的時候,實際上最終的勝利是屬於我們的。 總結: 通過本次旁門左道保護MDB資料庫檔案方法的介紹,我們可以明確兩點安全措施,一是迷惑法,也就是將駭客想得到的東西進行改變,例如改變MDB檔的檔案名或者副檔名;二是替代法,也就是將駭客想得到的東西隱藏, 用一個沒有實際意義的東西替代,這樣即使駭客成功入侵,拿到的也是一個虛假的資訊,他們還會以為入侵成功而停止接下來的攻擊。 給力(0票)動心(0票)廢話(0票)專業(0票)標題党(0票)路過(0票) 原文:資料安全防護之打造安全.mdb資料庫 返回網路安全首頁
