什么是mdb数据库呢?凡是有点制作网站经验的网络管理员都知道目前使用“IIS+ASP+ACCESS”这套组合方式建立网站是最流行的大多数中小型Internet网站都使用该“套餐”但随之而来的安全问题也日益显著其中最容易被攻击者利用的莫过于mdb数据库被非法下载了
什么是mdb数据库呢?凡是有点制作网站经验的网络管理员都知道目前使用“IIS+ASP+ACCESS”这套组合方式建立网站是最流行的大多数中小型Internet网站都使用该“套餐”但随之而来的安全问题也日益显著其中最容易被攻击者利用的莫过于mdb数据库被非法下载了
mdb数据库是没有安全防范的只要入侵者猜测或者扫描到mdb数据库的路径后就可以使用下载工具轻松将其下载到本地硬盘再结合暴力破解工具或一些超级破解工具可以轻松的查看里头的数据库文件内容企业的隐私和员工的密码从此不在安全难道我们就没有办法加强mdb数据库的安全吗?难道即便我们只有一点点数据资料也要麻烦sqlserver或者oracle吗?答案是否定的本篇文章笔者将告诉大家打造安全的mdb数据库文件的独门秘诀
一危机起因
一般情况下基于ASP构建的网站程序和论坛的数据库的扩展名默认为mdb这是很危险的只要猜测出了数据库文件的位置然后在浏览器的地址栏里面输入它的URL就可以轻易地下载文件就算我们对数据库加上了密码并且里面管理员的密码也被MD加密被下载到本地以后也很容易被破解毕竟目前MD已经可以通过暴力来破解了因此只要数据库被下载了那数据库就没有丝毫安全性可言了
二常用的补救方法
目前常用的数据库文件防止被非法下载的方法有以下几种
()把数据库的名字进行修改并且放到很深的目录下面比如把数据库名修改为Sjgfmdb放到多级目录中这样攻击者想简单地猜测数据库的位置就很困难了当然这样做的弊端就是如果ASP代码文件泄漏那无论隐藏多深都没有用了
()把数据库的扩展名修改为ASP或者ASA等不影响数据查询的名字但是有时候修改为ASP或者ASA以后仍然可以被下载比如我们将其修改为ASP以后直接在IE的地址栏里输入网络地址虽然没有提示下载但是却在浏览器里出现了一大片乱码如果使用FlashGet或影音传送带等专业的下载工具就可以直接把数据库文件下载下来不过这种方法有一定的盲目性毕竟入侵者不能确保该文件就一定是MDB数据库文件修改扩展名的文件但是对于那些有充足精力和时间的入侵者来说可以将所有文件下载并全部修改扩展名来猜测该方法的防范级别将大大降低
三笔者的旁门左道
在笔者的测试过程中就遇到了ASP和ASA文件也会被下载的问题所以经过研究发现了以下的方法
如果在给数据库的文件命名的时候将数据库文件命名为“#adminasa”则可以完全避免用IE下载但是如果破坏者猜测到了数据库的路径用FlashGet还是可以成功地下载下来然后把下载后的文件改名为“adminmdb”则网站秘密就将暴露所以我们需要找到一种FlashGet无法下载的方法但是如何才能让他无法下载呢?大概是因为以前受到unicode漏洞攻击的缘故网站在处理包含unicode码的链接的时候将会不予处理所以我们可以利用unicode编码(比如可以利用“%C”代替“<”等)来达到我们的目的而FlashGet在处理包含unicode码的链接的时候却“自作聪明”地把unicode编码做了对应的处理比如自动把“%”这一段unicode编码形式的字符转化成了“(”所以你向FlashGet提交一个的下载链接它却解释成了(xadminsxxmdb看看我们上面的网址的地方和下面的重命名的地方是不同的FlashGet把“%xadminsxxmdb”解释为了“(xadminsxxmdb”当我们单击“确定”按钮进行下载的时候它就去寻找一个名为“(xadminsxxmdb”的文件也就是说FlashGet给我们引入了歧途它当然找不到所以提示失败了
不过如果提示下载失败攻击者肯定要想采取其他的攻击方法由此我们可以采用另一个防范的方法既然FlashGet去找那个名为“(xadminsxxmdb”的文件了我们可以给它准备一个我们给它做一个仿真的数据库名为“(xadminsxxmdb”这样当入侵者想下载文件的时候的的确确下载了一个数据库回去只不过这个数据库文件是虚假的或者是空的在他们暗自窃喜的时候实际上最终的胜利是属于我们的
总结
通过本次旁门左道保护MDB数据库文件方法的介绍我们可以明确两点安全措施一是迷惑法也就是将黑客想得到的东西进行改变例如改变MDB文件的文件名或者扩展名;二是替代法也就是将黑客想得到的东西隐藏用一个没有实际意义的东西替代这样即使黑客成功入侵拿到的也是一个虚假的信息他们还会以为入侵成功而停止接下来的攻击