Access 数据库安全攻防策略

2016-02-19 18:21 8 1 收藏

今天图老师小编给大家介绍下Access 数据库安全攻防策略,平时喜欢Access 数据库安全攻防策略的朋友赶紧收藏起来吧!记得点赞哦~

【 tulaoshi.com - 编程语言 】

前言:网络是没有绝对全安的,这是一句经典的名言,我也不用多说了!

今天主要为大家演示一下,怎么下载Access数据库和防止Access数据库被下载。

参考了部分文章,加入了自己的一些看法。

攻:

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com/bianchengyuyan/)

一、发挥你的想象力,修改数据库文件名,从理论上讲不一定能防止被下载。修改数据库名,其目的就是防止我们猜到数据库而被下载。但是万一我们猜到数据库名,就直接可以下载了。所以这不能保证100%不能被下载。猜解数据库的常用的办法就是写程序去猜解数据库名,判断WEB返回的是不是404错误,如果提交一个MDB文件,没有返回404错误,那就猜对了,就直接下载。当然这有一定的局限性,因为如果数据库名非常复杂。会产生大量的日志。管理员可能早发现了。并且还有猜解的时间会变得很长。

二:数据库名后缀改为ASA、ASP等,不一定能防止被下载。IIS在通过asp.dll处理.asp扩展名文件的时候,对以外的内容,不做任何处理就直接输出,但是MDB文件中如果没有之类的ASP标实符,我们直接在IE中输入URL返回在IE中的数据,就是MDB文件的数据,我们直接用FLASHGET之类的软件就可以下载,下载后改名这后就可以用了。

三: 数据库名前加“#”,一定能防止被下载。

有些人误认为: “只需要把数据库文件前名加上#、然后修改数据库连接文件(如conn.asp)中的数据库地址。原理是下载的时候只能识别 #号前名的部分,对于后面的自动去掉。”

这样是比较安全的。这只是对于一般的人无法下载。因为他们不知道,也没有去了解有关IE编码的技术。在编码中我们用%23来代替#号。所以我们如果有一个数据库是: http://www.xxx.com/data/#datapro.mdb 我们直接在IE中输入: http://www.xxx.com/data/%23datapro.mdb 就可以下载了:

四:加密数据库。

有些人认为,把ACCESS数据库进行加密,就算得到数据库他也没有办法得到里面的任何信息。这是一种错解。下载后,2秒钟码解出数据库密码。Access数据库的加密机制是非常脆弱的。加密后数据库系统通过将用户输入的密码与某一固定密钥进行“异或”来形成一个加密串,并将其存储在*.mdb文件从地址“&H42”开始的区域内。用程序可以轻松的写出破解代码。网上已经有这样的程序了。现在我为大家推荐一款比较老,但非常实用的破解数据库密码程序:accesskey.exe

五:我们用特殊请求让脚本解析出错,得到数据库路径。

在网络上,有很多人直接采用以下代码,来连接数据库,看: .... DB_Path = "Data/ABCD1234!@#1po.mdb" DB_String = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & Server.MapPath(DB_Path) Set Conn = Server.CreateObject("ADODB.Connection") Conn.Open DB_String .... 数据库文件名也够复杂了,用程序破解,我想是没有人想去尝试的。 像这样的连接方式我们都可以直接取得他的数据库路径。由于这种方法危险性太大了,知道本方法的人很少。这里不敢公布。一旦公布不知道有多少网站的数据库会被下载。等以后看情况再说吧。所以这里我只为大家提供临时补丁。在Conn.Open DB_String上面加上一句话: ON ERROR RESUME NEXT 就可以解决这个问题.

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com/bianchengyuyan/)

来源:http://www.tulaoshi.com/n/20160219/1617411.html

延伸阅读
SQL*DBA命令的安全性: 如果您没有SQL*PLUS应用程序,您也可以使用SQL*DBA作SQL查权限相关的命令只能分配给Oracle软件拥有者和DBA组的用户,因为这些命令被授予了特殊的系统权限。 (1) startup (2) shutdown (3) connect internal 数据库文件的安全性: Oracle软件的拥有者应该这些数据库文件($ORA...
数据的安全性策略: 数据的生考虑应基于数据的重要性。如果数据不是很重要,那么数据的安全性策略可以稍稍放松一些。然而,如果数据很重要,那么应该有一谨慎的安全性策略,用它来维护对数据对象访问的有效控制。 用户安全性策略: (1) 一般用户的安全性 A 密码的安全性 如果用户是通过数据库进行用户身...
一、密码式 给数据库起一个随机复杂的名称,避免被猜到被下载,这种方式在以前很流行,因为大家都对自己的代码很有自信。但随着错误提示对数据库地址的泄露导致数据库被非法下载,这种方式也就越来越少人用了。 二、"#"式 在数据库名称里加上#号,从URL上请求时#是请求地址和请求参数的一个分隔字符,如果知道了数据库名...
在office 2000下,Access数据库的安全机制已经更为完善。除了对数据库设置密码保护,对数据库进行编码压缩,还可以启用用户级的安全机制,在用户级别上控制对数据库的访问。 一、数据库设置密码- 对于单机使用的数据库或者是需要工作组共享的数据库,仅设置密码保护较为合适。知道密码的组成员,都有数据库的完全操作权限,彼...
在Office家族成员中,人们对于Access 2000的了解,往往只局限在它的操作界面中,对于数据库管理的功能仍只是停留在建立表、数据输入、使用窗体向导、报表向导、数据访问页向导等一些简单的应用上。其实Access 2000的功能十分强大,且超乎你的想像。它是微软自公布Access以来功能最全面、与Windows和Internet结合最紧密的数据库软件,是一个...

经验教程

293

收藏

19
微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部