九種防MDB數(shù)據(jù)庫被下載的方法
當(dāng)前位置:點晴教程→知識管理交流
→『 技術(shù)文檔交流 』
篇首語:原來改mdb為asp就能防下載是鬼話。用Flashget試驗下載data.asp文件,并另存為data.mdb文件,發(fā)現(xiàn)用ACCESS打開完好無損! 1.發(fā)揮你的想象力 修改數(shù)據(jù)庫文件名 但是若攻擊者通過第三方途徑獲得了數(shù)據(jù)庫的路徑,就可以下載數(shù)據(jù)庫。故保密性為最低。 2.數(shù)據(jù)庫名后綴改為ASA、ASP等 此法須配合一些要進(jìn)行一些設(shè)置,否則就會出現(xiàn)本文開頭的那種情況 (1)二進(jìn)制字段添加。 (2)在這個文件中加入<%或%>,IIS就會按ASP語法來解析,然后就會報告500錯誤,自然不能下載了。可是如果只是簡單的在數(shù)據(jù)庫的文本或者備注字段加入<%是沒用的,因為ACCESS會對其中的內(nèi)容進(jìn)行處理,在數(shù)據(jù)庫里他會以< %的形式存在,無效!正確的方法是將<%存入OLE對象字段里,這樣我們的目的就能達(dá)到了。 作方法: 首先,用notepad新建一個內(nèi)容為 <% 的文本文件,隨便起個名字存檔。 接著,用Access打開您的數(shù)據(jù)庫文件,新建一個表,隨便起個名字,在表中添加一個OLE對象的字段,然后添加一個記錄,插入之前建立的文本文件,如果操作正確的話,應(yīng)該可以看到一個新的名為“數(shù)據(jù)包"的記錄。即可 3.數(shù)據(jù)庫名前加“#” 只需要把數(shù)據(jù)庫文件前名加上#、然后修改數(shù)據(jù)庫連接文件(如conn.asp)中的數(shù)據(jù)庫地址。原理是下載的時候只能識別 #號前名的部分,對于后面的自動去掉,比如你要下載: http://www.pcdigest.com/date/#123.mdb (假設(shè)存在的話)。無論是IE還是FLASHGET等下到的都是 http://www.test.com/date/index.htm(index.asp 、default.jsp等你在IIS設(shè)置的首頁文檔) 另外在數(shù)據(jù)庫文件名中保留一些空格也起到類似作用,由于HTTP協(xié)議對地址解析的特殊性,空格會被編碼為"%",如 http://www.test.com/date/123 ;456.mdb,下載的時 http://www.test.com/date/123 %456.mdb。而我們的目錄就根本沒有123%456.mdb這個文件,所以下載也是無效的這樣的修改后,即使你暴露了數(shù)據(jù)庫地址,一般情況下別人也是無法下載! 4.加密數(shù)據(jù)庫 首先在選取"工具->安全->加密/解密數(shù)據(jù)庫,選取數(shù)據(jù)庫(如:employer.mdb),然后接確定,接著會出現(xiàn)"數(shù)據(jù)庫加密后另存為"的窗口,存為:employer1.mdb。接著employer.mdb就會被編碼,然后存為employer1.mdb..要注意的是,以上的動作并不是對數(shù)據(jù)庫設(shè)置密碼,而只是對數(shù)據(jù)庫文件加以編碼,目的是為了防止他人使用別的工具來查看數(shù)據(jù)庫文件的內(nèi)容。 接下來我們?yōu)閿?shù)據(jù)庫加密,首先以打開經(jīng)過編碼了的 employer1.mdb,在打開時,選擇"獨占"方式。然后選取功能表的"工具->安全->設(shè)置數(shù)據(jù)庫密碼", 接著輸入密碼即可。這樣即使他人得到了employer1.mdb文件,沒有密碼他是無法看到 employer1.mdb的。 加密后要修改數(shù)據(jù)庫連接頁, 如: conn.open "driver={microsoft access driver (*.mdb)};uid=admin;pwd=數(shù)據(jù)庫密碼;dbq=數(shù)據(jù)庫路徑" 這樣修改后,數(shù)據(jù)庫即使被人下載了,別人也無法打開(前提是你的數(shù)據(jù)庫連接頁中的密碼沒有被泄露) 但值得注意的是,由于Access數(shù)據(jù)庫的加密機制比較簡單,即使設(shè)置了密碼,解密也很容易。該數(shù)據(jù)庫系統(tǒng)通過將用戶輸入的密碼與某一固定密鑰進(jìn)行“異或”來形成一個加密串,并將其存儲在*.mdb文件從地址“&H42”開始的區(qū)域內(nèi)。所以一個好的程序員可以輕松制作一個幾十行的小程序就可以輕松地獲得任何Access數(shù)據(jù)庫的密碼。因此,只要數(shù)據(jù)庫被下載,其信息安全依然是個未知數(shù)。 5.數(shù)據(jù)庫放在WEB目錄外或?qū)?shù)據(jù)庫連接文件放到其他虛擬目錄下 如你的WEB目錄是e:\webroot,可以把數(shù)據(jù)庫放到e:\data這個文件夾里,在e:\webroot里的數(shù)據(jù)庫連接頁中修改數(shù)據(jù)庫連接地址為:"../data/數(shù)據(jù)庫名" 的形式,這樣數(shù)據(jù)庫可以正常調(diào)用,但是無法下載的,因為它不在WEB目錄里!這個方法一般也不適合購買虛擬空間的用戶。 6.使用ODBC數(shù)據(jù)源。 在ASP等程序設(shè)計中,如果有條件,應(yīng)盡量使用ODBC數(shù)據(jù)源,不要把數(shù)據(jù)庫名寫在程序中,否則,數(shù)據(jù)庫名將隨ASP源代碼的失密而一同失密,例如: DBPath = Server.MapPath(“../123/abc/asfadf.mdb ”) conn.open “driver={Microsoft Access Driver (*.mdb)};dbq=”& DBPath 可見,即使數(shù)據(jù)庫名字起得再怪異,隱藏的目錄再深,ASP源代碼失密后,也很容易被下載下來。如果使用ODBC數(shù)據(jù)源,就不會存在這樣的問題了: conn.open “ODBC-DSN名” ,不過這樣是比較煩的,目錄移動的話又要重新設(shè)置數(shù)據(jù)源了,更方便的方法請看第7,8法! 7.添加數(shù)據(jù)庫名的如MDB的擴展映射 這個方法就是通過修改IIS設(shè)置來實現(xiàn),適合有IIS控制權(quán)的朋友,不適合購買虛擬主機用戶(除非管理員已經(jīng)設(shè)置了)。這個方法我認(rèn)為是目前最好的。只要修改一處,整個站點的數(shù)據(jù)庫都可以防止被下載。無須修改代碼即使暴露目標(biāo)地址也可以防止下載。 我們在IIS屬性---主目錄---配置---映射---應(yīng)用程序擴展那里添加.mdb文件的應(yīng)用解析。注意這里的選擇的DLL(或EXE等)似乎也不是任意的,選擇不當(dāng),這個MDB文件還是可以被下載的, 注意最好不要選擇選擇asp.dll等。你可以自己多測試下 這樣修改后下載數(shù)據(jù)庫如: http://www.test.com/data/dvbbs6.mdb 。就出現(xiàn)(404或500等錯誤) 8:使用.net的優(yōu)越性 動網(wǎng)的木鳥就寫過一個防非法下載文件的“WBAL 防盜鏈工具”。具體可以登陸 http://www.9seek.com/WBAL/ ; 不過 那個只實現(xiàn)了防止非本地下載的 ,沒有起到真正的防下載數(shù)據(jù)庫的功能。不過這個方法已經(jīng)跟5法差不多可以通過修改.NET文件,實現(xiàn)本地也不能下載! 這幾個方法中,只有第7和8個是統(tǒng)一性改的,一次修改配置后,整個站點的數(shù)據(jù)庫都可以防止下載,其他幾個就要分別修改數(shù)據(jù)庫名和連接文件,比較麻煩,不過對于虛擬主機的朋友也只能這樣了! 其實第6個方法應(yīng)該是第5個方法的擴展,可以實現(xiàn)特殊的功能,但對于不支持.net的主機或者怕設(shè)置麻煩的話,還是直接用第5個方法了,而且默認(rèn)情況下第6個方法,依然可以通過復(fù)制連接到同主機的論壇或留言本發(fā)表,然后就可以點擊下載了(因為這樣的引用頁是來自同主機的) 9.利用NTFS分區(qū)的文件權(quán)限設(shè)置(by percyboy)
我們已經(jīng)知道,ASP.NET 中使用 ADO.NET 訪問數(shù)據(jù)庫,通過 OleDb 的連接可以訪問 Access 數(shù)據(jù)庫——我們非常常用的低端數(shù)據(jù)庫之一。本文討論了 ASP.NET 中可能看到的若干錯誤提示,從中看到 Access 2000 和 Access XP 創(chuàng)建的數(shù)據(jù)庫文件,在訪問出現(xiàn)錯誤時會出現(xiàn)不太相同的錯誤提示。希望對大家有所幫助。另一個要點是,希望通過此文,使大家對 ASP.NET 中 Access 數(shù)據(jù)庫文件的 NTFS 權(quán)限設(shè)置有所新的認(rèn)識。 該文章在 2010/11/26 0:50:21 編輯過 |
關(guān)鍵字查詢
相關(guān)文章
正在查詢... 
|
400 186 1886
