Access 数据库安全攻防策略

溫宇

溫宇

2016-02-19 18:21

今天图老师小编给大家介绍下Access 数据库安全攻防策略,平时喜欢Access 数据库安全攻防策略的朋友赶紧收藏起来吧!记得点赞哦~

前言:网络是没有绝对全安的,这是一句经典的名言,我也不用多说了!

今天主要为大家演示一下,怎么下载Access数据库和防止Access数据库被下载。

参考了部分文章,加入了自己的一些看法。

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/bianchengyuyan/)

攻:

一、发挥你的想象力,修改数据库文件名,从理论上讲不一定能防止被下载。修改数据库名,其目的就是防止我们猜到数据库而被下载。但是万一我们猜到数据库名,就直接可以下载了。所以这不能保证100%不能被下载。猜解数据库的常用的办法就是写程序去猜解数据库名,判断WEB返回的是不是404错误,如果提交一个MDB文件,没有返回404错误,那就猜对了,就直接下载。当然这有一定的局限性,因为如果数据库名非常复杂。会产生大量的日志。管理员可能早发现了。并且还有猜解的时间会变得很长。

二:数据库名后缀改为ASA、ASP等,不一定能防止被下载。IIS在通过asp.dll处理.asp扩展名文件的时候,对以外的内容,不做任何处理就直接输出,但是MDB文件中如果没有之类的ASP标实符,我们直接在IE中输入URL返回在IE中的数据,就是MDB文件的数据,我们直接用FLASHGET之类的软件就可以下载,下载后改名这后就可以用了。

三: 数据库名前加“#”,一定能防止被下载。

有些人误认为: “只需要把数据库文件前名加上#、然后修改数据库连接文件(如conn.asp)中的数据库地址。原理是下载的时候只能识别 #号前名的部分,对于后面的自动去掉。”

这样是比较安全的。这只是对于一般的人无法下载。因为他们不知道,也没有去了解有关IE编码的技术。在编码中我们用%23来代替#号。所以我们如果有一个数据库是: http://www.xxx.com/data/#datapro.mdb 我们直接在IE中输入: http://www.xxx.com/data/%23datapro.mdb 就可以下载了:

四:加密数据库。

有些人认为,把ACCESS数据库进行加密,就算得到数据库他也没有办法得到里面的任何信息。这是一种错解。下载后,2秒钟码解出数据库密码。Access数据库的加密机制是非常脆弱的。加密后数据库系统通过将用户输入的密码与某一固定密钥进行“异或”来形成一个加密串,并将其存储在*.mdb文件从地址“&H42”开始的区域内。用程序可以轻松的写出破解代码。网上已经有这样的程序了。现在我为大家推荐一款比较老,但非常实用的破解数据库密码程序:accesskey.exe

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/bianchengyuyan/)

五:我们用特殊请求让脚本解析出错,得到数据库路径。

在网络上,有很多人直接采用以下代码,来连接数据库,看: .... DB_Path = "Data/ABCD1234!@#1po.mdb" DB_String = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & Server.MapPath(DB_Path) Set Conn = Server.CreateObject("ADODB.Connection") Conn.Open DB_String .... 数据库文件名也够复杂了,用程序破解,我想是没有人想去尝试的。 像这样的连接方式我们都可以直接取得他的数据库路径。由于这种方法危险性太大了,知道本方法的人很少。这里不敢公布。一旦公布不知道有多少网站的数据库会被下载。等以后看情况再说吧。所以这里我只为大家提供临时补丁。在Conn.Open DB_String上面加上一句话: ON ERROR RESUME NEXT 就可以解决这个问题.

展开更多 50%)
分享

猜你喜欢

Access 数据库安全攻防策略

编程语言 网络编程
Access 数据库安全攻防策略

access数据库安全

编程语言 网络编程
access数据库安全

s8lol主宰符文怎么配

英雄联盟 网络游戏
s8lol主宰符文怎么配

数据库安全 关于Access数据库4种安全方式

编程语言 网络编程
数据库安全 关于Access数据库4种安全方式

Oracle数据库安全策略

编程语言 网络编程
Oracle数据库安全策略

lol偷钱流符文搭配推荐

英雄联盟 网络游戏
lol偷钱流符文搭配推荐

ACCESS数据库安全系统

编程语言 网络编程
ACCESS数据库安全系统

Oracle数据库的安全策略

电脑网络
Oracle数据库的安全策略

lolAD刺客新符文搭配推荐

英雄联盟
lolAD刺客新符文搭配推荐

Access 和 SQL Server数据类型的比较

Access 和 SQL Server数据类型的比较

Access秘密技巧和陷阱

Access秘密技巧和陷阱
下拉加载更多内容 ↓