Home  >  Article  >  Database  >  打响数据库保卫战 建一面“铜墙铁壁”

打响数据库保卫战 建一面“铜墙铁壁”

WBOY
WBOYOriginal
2016-06-07 15:23:271354browse

欢迎进入网络安全论坛,与300万技术人员互动交流 >>进入 数据库对于一个网站来说意味着什么?可能有很多站长会说只是一个记录数据的工具。这种说法固然没错,但是却遗漏了重要的一点,数据库也是一个网站安全的中心,一旦数据库被黑客得到,那么轻则得到网站

欢迎进入网络安全论坛,与300万技术人员互动交流 >>进入

  数据库对于一个网站来说意味着什么?可能有很多站长会说只是一个记录数据的工具。这种说法固然没错,但是却遗漏了重要的一点,数据库也是一个网站安全的中心,一旦数据库被黑客得到,那么轻则得到网站数据和用户隐私信息,重则渗透网站,影响整个服务器的安全。正因为很多站长对数据库的安全意识不够,才导致很多安全问题的发生。本文将让大家了解数据库对一个网站的重要性,并为数据库建造一面“铜墙铁壁”。

  一、数据库的获取

  数据库对网站重要性不言而喻,那么黑客是通过什么手段得到网站数据库的呢?
 
  1.默认的数据库路径
 
  很多站长建站或论坛使用的都是现成的整站程序,这就造成了一个很大的安全隐患,即默认的数据库的路径。虽然在这些程序的说明文档中都提示修改数据库的默认路径,但是仍有些安全意识不高的站长不屑于修改或者不会修改。这样当黑客在该网站的地址后输入默认数据库的路径,就可以轻易下载到数据库。
 
  2.暴库显示路径
 

打响数据库保卫战 建一面“铜墙铁壁”
图1.成功暴出数据库 

  3.防下载设置不够严密
 
  排除程序的原因,数据库被下载很大一部分的原因是人为因素。有些站长已经认识到数据库的重要性,虽然没有修改默认的路径,但是将数据库默认的后缀名“mdb”改为了“asp”,这样即使别人知道了数据库的路径,也无法在浏览器中进行下载,而是直接在页面中显示数据库的内容,当然都是一些乱码。不过我们虽然无法在浏览器中下载,却可以借用专用的下载软件来实现数据库的下载,或者将页面中出现的所有内容复制到一个文本文档中,然后将这个文档的后缀名改为“mdb”。
 
  还有一种情况就是站长在数据库的文件名中加入了“#”符号,例如原来的数据库名为123.mdb,加入“#”号后变成“#123.mdb”,这样当我们在地址栏中直接输入“http://www.***.com/#123.mdb”,是无法下载数据库的,而是显示“无法找到网页”。这是因为浏览器的编码格式会默认将“#”号变为“%23”,这样就成了另外一个网址,当然不可能下载到数据库。那么我们反过来将“%23”替换为“#”,填入到网址中,数据库不就可以正确下载了吗?

[1] [2] [3] 

打响数据库保卫战 建一面“铜墙铁壁”

Statement:
The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn