注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

业精于专,成于广

slow down & keep thinking

 
 
 

日志

 
 

ASP安全漏洞及防护方法(三)  

2006-08-04 15:34:59|  分类: 完全CS |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
Access数据库安全漏洞

当前ASP+Access的配置成为了众多中小型企业及个人站点青睐的建站解决方案。由于这种数据库完全存放于独立的.mdb文件中,若不加以防范,很容易暴露其存放路径并被非法下载。由于数据库中通常存放着管理员用户名、密码等敏感信息,一旦泄露,将对系统造成毁灭性的打击。
  以数据库下载漏洞为例。一旦攻击者得到了数据库文件的真实地址,可通过IE访问或用下载工具直接下载到数据库。由于Access数据库加密机制过于简单,保护数据安全的注意力应放在防止数据库被下载上。下面是一些实用方法:
(1) 对数据库本身进行改造
  在数据库中建立一个新表,在字段内容中填入任意出错的ASP语句如"<% protect <%",保存关闭后再将文件后缀改为.asp或.asa即可。此时若直接访问数据库则会提示IIS错误,因IIS尝试对该文件进行解释执行时发现ASP语法错误,则中断执行并报错。
(2) 利用IIS的应用程序扩展名映射
  IIS对收到的请求进行解析时,根据不同类型的扩展名,调用对应的可执行文件进行操作。如新建一个名为null.dll的空文件,再对扩展名为.mdb的数据库文件添加一个指向该空文件的映射,则尝试下载.mdb文件时,由于null.dll不是有效的可执行文件,IIS调用时会提示出错,达到防下载的目的。

(待续,节选自我的毕业设计论文,请勿转载!)
  评论这张
 
阅读(19)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018