原來改mdb為asp就能防下載是鬼話。
引子:昨天和animator試驗了一下,把 data.mdb文件改名為data.asp文件後放在wwwroot目錄裡。然後 在IE中輸入data.asp路徑後,發現IE顯示一片空白,右鍵- >察看源文件,跳出記事本,將內容另存為。mdb文件 ,用ACCESS打開,發現需要密碼,也就是說至少文件頭被破壞。
然後用 Flashget試驗下載data.asp文件,並另存為data.mdb文件,發現用ACCESS打開完好無損!!!看 來,好一些編程人員在開發的時候都認為,改了mdb後綴為asp就能防下載的概念,是錯的!後台數據庫被下載對於一個asp+a ccess的網站來說無疑是一場慘絕人寰的災難。今天找了各方的文章,歸納一下有以下9種辦法防止數據庫被下載(歡迎補充):& nbsp;
1.發揮你的想象力 修改數據庫文件名不用說,這是最最偷懶的方法,但是若攻擊者通過第三方途徑獲得了數據庫的路徑),就玩完了。比如說攻擊者本來只能拿到list權 ,結果意外看到了數據庫路徑,就可以冠冕堂皇地把數據庫下載回去研究了。另外,數據文件通常大小都比較大,起再隱蔽的文件名都瞞 不了人。故保密性為最低。
2.數據庫名後綴改為ASA、ASP等
此法須配合一些要進行一些設置,否則就會出現本文開頭的那種情況
(1)二進制字段添加(此招我還沒有煉成-_-+)。
(2) 在這個文件中加入<%或%>,IIS就會按ASP語法來解析,然後就會報告500錯誤,自然不能下載了。可是 如果只是簡單的在數據庫的文本或者備注字段加入<%是沒用的,因為ACCESS會對其中的內容進行處理,在數據庫裡他會以 < %的形式存在,無效!正確的方法是將 <%存入OLE對象字段裡,這樣我們的目的就能達到了。&nbs p;作方法:首先,用notepad新建一個內容為 <% 的 文本文件,隨便起個名字存檔。
