熱點推薦:
您现在的位置: 電腦知識網 >> 網絡技術 >> 正文

如何暴庫

2013-09-12 15:54:20  來源: 網絡技術 
  暴庫,就是通過一些技術手段或者程序漏洞得到數據庫的地址,並將數據非法下載到本地。黑客非常樂意於這種工作,為什麼呢?因為黑客在得到網站數據庫後,就能得到網站管理賬號,對網站進行破壞與管理,黑客也能通過數據庫得到網站用戶的隱私信息,甚至得到服務器的最高權限。www.sq120.com推薦文章

        曾經案例:黑客暴庫的方法有很多,如果站長沒有修改默認數據庫地址,那黑客就能直接下載到數據庫對網站進行控制。當然稍有安全意識的站長都會修改默認數據庫地址的,通常是由於程序的漏洞導致數據庫被黑客非法下載到。
  在暴庫的漏洞歷史中,要數單引號過濾不嚴漏洞最為經典,入侵者只要加單引號就能暴庫。這個漏洞危害非常大,曾經導致無數網站受害。還有較早版本的《動力文章系統》(一種網站系統)的%5c替換漏洞,也是非常簡單,只要加%5c就能測試出漏洞。暴庫漏洞出現時都導致無數網站受害。

        簡單的防范方法:很多人認為在數據庫前面加個“#”就能夠防止數據庫被非法下載,但是經過研究,這是錯誤的。因為在IE中,每個字符都對應著一個編碼,編碼符%23就可以替代“#”。這樣對於一個只是修改了後綴並加上了“#”的數據庫文件我們依然可以下載。TW.WInGWIT.cOM
  比如#data.mdb為我們要下載的文件,我們只要在浏覽器中輸入%23data.mdb就可以利用IE下載該數據庫文件,這樣一來,“#”防御手段就形同虛設一般,還有一些人把數據庫擴展名改成ASP,其實這也是一種致命的錯誤,黑客下載後把擴展名修改回來就行了。
  防范暴庫首先必須修改默認地址,對於有自己的服務器的朋友還有一種更為保險的辦法,就是將數據庫放在Web目錄外,如你的Web目錄是e:\webroot,可以把數據庫放到e:\data這個文件夾裡,在e:\webroot裡的數據庫連接頁中修改數據庫連接地址為“./data/數據庫名”的形式,這樣數據庫可以正常調用,但是無法下載,因為它不在Web目錄裡。還有就是經常更新程序,也可以使用Access數據庫防下載的插件,例如:“數據庫防下載.asp”之類的插件。  
From:http://tw.wingwit.com/Article/Network/201309/518.html
  • 上一篇文章:

  • 下一篇文章:
  • Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.