数据库漏洞进行攻击的例子已经多如牛毛,数据库漏洞也是由来已久。几乎每个企业网络管理员都在进行着与漏洞之间的博弈较量。在数据库漏洞之中,数据库下载漏洞可以算是数据库漏洞的王者了。数据库下载漏洞即便是通过了一些防范方法也很难逃脱被攻击的命运,那么我们就有必要了解一些数据库下载漏洞方法,提升自己的安全意识。
1.强制下载后缀名为asp、asa的数据库文件
大多数的网管为了节省时间,网站上的文章系统、论坛等程序都是直接下载别人的源程序再经过部分修改后使用的。
而现在很多人做的asp源程序都已经将数据库的后缀由原先的mdb改为了asp或asa。本来这是好事,但在这个信息极度膨胀的社会,老的方法所能维持的时间毕竟有限。对于asp或asa后缀的数据库文件,黑客只要知道它们的存放位置,就能轻易地用迅雷这样的下载软件下载得到。
2.致命符号——#
很多网管以为在数据库前面加个#号就可以防止数据库被下载。是啊,我当时也认为ie是无法下载带有#号的文件的(ie会自动忽略#号后面的内容)。但是“成也萧何,败也萧何”,我们忘记了网页不仅能通过普通的方法访问,而且用ie的编码技术也能访问到。
在ie中,每个字符都对应着一个编码,编码符%23就可以替代#号。这样对于一个只是修改了后缀并加上了#号的数据库文件我们依然可以下载。比如#data.mdb为我们要下载的文件,我们只要在浏览器中输入%23data.mdb就可以利用ie下载该数据库文件。这样一来,#号防御手段就形同虚设一般。
3.破解access加密数据库易如反掌
有些网管喜欢对access数据库进行加密,以为这样一来就算黑客得到了数据库也需要密码才能打开。但事实正好相反,由于access的加密算法太脆弱,所以黑客只要随便到网上找一个破解access数据库密码的软件,不用几秒钟就能得到密码。
【编辑推荐】