引子:昨天和animator試驗了一下,把data.mdb文件改名為data.asp文件後放在wwwroot目錄裡。然後在IE中輸入data.ASP路徑後,發現IE顯示一片空白,右鍵->察看源文件,跳出記事本,將內容另存為.mdb文件,用Access打開,發現需要密碼,也就是說至少文件頭被破壞。
然後用Flashget試驗下載data.asp文件,並另存為data.mdb文件,發現用Access打開完好無損!!!看來,好一些編程人員在開發的時候都認為,改了mdb後綴為asp就能防下載的概念,是錯的!後台數據庫被下載對於一個ASP+Access的網站來說無疑是一場慘絕人寰的災難。今天找了各方的文章,歸納一下有以下9種辦法防止數據庫被下載(歡迎補充):
1.發揮你的想象力 修改數據庫文件名
不用說,這是最最偷懶的方法,但是若攻擊者通過第三方途徑獲得了數據庫的路徑),就玩完了。比如說攻擊者本來只能拿到list權,結果意外看到了數據庫路徑,就可以冠冕堂皇地把數據庫下載回去研究了。另外,數據文件通常大小都比較大,起再隱蔽的文件名都瞞不了人。故保密性為最低。
2.數據庫名後綴改為ASA、ASP等
此法須配合一些要進行一些設置,否則就會出現本文開頭的那種情況
(1)二進制字段添加(此招我還沒有煉成-_-+)。
(2)在這個文件中加入<%或%>,IIS就會按ASP語法來解析,然後就會報告500錯誤,自然不能下載了。可是如果只是簡單的在數據庫的文本或者備注字段加入<%是沒用的,因為Access會對其中的內容進行處理,在數據庫裡他會以< %的形式存在,無效!正確的方法是將<%存入OLE對象字段裡,這樣我們的目的就能達到了。
作方法:
首先,用notepad新建一個內容為 <% 的文本文件,隨便起個名字存檔。
接著,用Access打開您的數據庫文件,新建一個表,隨便起個名字,在表中添加一個OLE對象的字段,然後添加一個記錄,插入之前建立的文本文件,如果操作正確的話,應該可以看到一個新的名為“數據包"的記錄。即可
3.數據庫名前加“#”
只需要把數據庫文件前名加上#、然後修改數據庫連接文件(如conn.ASP)中的數據庫地址。原理是下載的時候只能識別 #號前名的部分,對於後面的自動去掉,比如你要下載:http://www.pcdigest.com/date/#123.mdb(假設存在的話)。無論是IE還是FlashGET等下到的都是http://www.test.com/date/index.htm(index.ASP、default.JSP等你在IIS設置的首頁文檔)
另外在數據庫文件名中保留一些空格也起到類似作用,由於HTTP協議對地址解析的特殊性,空格會被編碼為"%",如http://www.test.com/date/123 ;456.mdb,下載的時http://www.test.com/date/123 %456.mdb。而我們的目錄就根本沒有123%456.mdb這個文件,所以下載也是無效的這樣的修改後,即使你暴露了數據庫地址,一般情況下別人也是無法下載!
4.加密數據庫
首先在選取"工具->安全->加密/解密數據庫,選取數據庫(如:employer.mdb),然後接確定,接著會出現"數據庫加密後另存為"的窗口,存為:employer1.mdb。接著employer.mdb就會被編碼,然後存為employer1.mdb..要注意的是,以上的動作並不是對數據庫設置密碼,而只是對數據庫文件加以編碼,目的是為了防止他人使用別的工具來查看數據庫文件的內容。
接下來我們為數據庫加密,首先以打開經過編碼了的 employer1.mdb,在打開時,選擇"獨占"方式。然後選取功能表的"工具->安全->設置數據庫密碼", 接著輸入密碼即可。這樣即使他人得到了employer1.mdb文件,沒有密碼他是無法看到 employer1.mdb的。
加密後要修改數據庫連接頁, 如:
conn.open "driver={microsoft Access driver (*.mdb)};uid=admin;pwd=數據庫密碼;dbq=數據庫路徑"
這樣修改後,數據庫即使被人下載了,別人也無法打開(前提是你的數據庫連接頁中的密碼沒有被洩露)
但值得注意的是,由於Access數據庫的加密機制比較簡單,即使設置了密碼,解密也很容易。該數據庫系統通過將用戶輸入的密碼與某一固定密鑰進行“異或”來形成一個加密串,並將其存儲在*.mdb文件從地址“&H42”開始的區域內。所以一個好的程序員可以輕松制作一個幾十行的小程序就可以輕松地獲得任何Access數據庫的密碼。
