分类
ACCESS攻击:下载修改寻找数据库的路径‖
名,其目的就是防止我们猜
了。所以这不能保证100%不
判断WEB返回的是不是404错
直接下载。当然这有一定的
可能早发现了。并且还有猜
到数据库而被下载。但是万一我
能被下载。猜解数据库的常用的
误,如果提交一个MDB文件,没
局限性,因为如果数据库名非常
解的时间会变得很长。
们猜到数据库名,就直接可以下载
办法就是写程序去猜解数据库名,
有返回404错误,那就猜对了,就
复杂。会产生大量的日志。管理员
| 二:数据库名后缀改为 展名文件的时候,对以外的 ASP标实符,我们直接在IE中 FLASHGET之类的软件就可以 | ASA、ASP等,不一定能防止被下 内容,不做任何处理就直接输出 输入URL返回在IE中的数据,就 下载,下载后改名这后就可以用 | 载。IIS在通过asp.dll处理.asp扩 ,但是MDB文件中如果没有之类的 是MDB文件的数据,我们直接用 了。 |
 |
| 三: 数据库名前加“#”,一定能防止被下载。 |
| 有些人误认为: “?br>conn.asp)中的数据库地址 掉。” | 需要把数据库文件前名加上#、 。原理是下载的时候只能识别 # | 然后修改数据库连接文件(如 号前名的部分,对于后面的自动去 |
| 这样是比较安全的。这只是对于一般 IE编码的技术。在编码中我们用%23来代 http://www.xxx.com/data/#datapro.mdb p://www.xxx.com/data/%23datapro.mdb | 的人无法下载。因为他们不知道,也没有去了解有关 替#号。所以我们如果有一个数据库是: 我们直接在IE中输入: htt 就可以下载了: |
 |
| 四:加密数据库。 |
| 有些人认为,把ACCESS数据库进行加 息。这是一种错解。下载后,2秒钟码解 的。加密后数据库系统通过将用户输入的 ,并将其存储在*.mdb文件从地址“&H42 网上已经有这样的程序了。现在我为大家 :accesskey.exe | 密,就算得到数据库他也没有办法得到里面的任何信 出数据库密码。Access数据库的加密机制是非常脆弱 密码与某一固定密钥进行“异或”来形成一个加密串 ”开始的区域内。用程序可以轻松的写出破解代码。 推荐一款比较老,但非常实用的破解数据库密码程序 |
 |
| 五:我们用特殊请求让脚本解析出错,得到数据库路径。 |
| 在网络上,有很多人直 "Data/ABCD1234!@#1po.mdb Source=" & Server.MapPat DODB.Connection") Conn.O 想是没有人想去尝试的。 方法危险性太大了,知道本 库会被下载。等以后看情况 DB_String上面加上一句话 | 接采用以下代码,来连接数据库 " DB_String = "Provider=Micr h(DB_Path) Set Conn = Server pen DB_String .... 数据库文 像这样的连接方式我们都可以直 方法的人很少。这里不敢公布。 再说吧。所以这里我只为大家提 : ON ERROR RESUME NEXT 就可 | ,看: .... DB_Path = osoft.Jet.OLEDB.4.0;Data .CreateObject("A 件名也够复杂了,用程序破解,我 接取得他的数据库路径。由于这种 一旦公布不知道有多少网站的数据 供临时补丁。在Conn.Open 以解决这个问题. |