今天下午,低一度博客受到攻击了,出现了大约一个小时的访问异常。庆幸的是,这帮无耻歹徒没能成功获取我的Access数据库,而只是象征性地给我注入了一些东西。也不知道他们是怎样注入的!想想的确不容小视这帮混蛋!不过没关系,低一度的数据库目前足够安全。利用这个“机会”,我们就来谈一谈这个问题。
大家都知道,Asp程序使用得最多的数据库类型就是Access,如PJ-Blog、Z-Blog等。这是因为Access数据库简单小巧,直接上传到服务器上就可以用了。尽管简便,然而Access也有不足之处,其中比较伤脑筋的便是其安全性问题。大部分黑客攻击此类Asp站点,就是从获取Access数据库开始的。所以,怎样有效防范Access数据库被恶意下载,成了建站中首当其冲的话题。这里,低一度结合自己的经验、实例及一些网上搜罗来的资料,向大家介绍几种相对有效的防范措施,希望对大家会有帮助(当然,用不着最好)。
防范措施一:将数据库文件名命名得尽可能地复杂
这是最最偷懒的方法了!所以,这个法子的安全指数也并非最高。若攻击者通过第三方途径获得了数据库的路径,你就玩完了。比如说我本来只能拿到list权,结果意外看到了你的数据库路径,那我便可冠冕堂皇地把数据库下载回去研究了。另外,数据文件通常大小都比较大,取再隐蔽的文件名也瞒不了人。呵呵,所以此法我并不提倡。
防范措施二:修改数据库名后缀为Asa或Asp等格式
这一做法,安全指数相对第一种行为会高一些,但同样存在着隐患。它必须配合一些必要的设置进行,如:在数据库文件中加入<%或%>标签,这样,IIS才会按Asp语法来解析,然后报告500错误,使歹徒无法下载。可是,假如只是简单地在数据库的文本或备注字段中加入<%是起不到作用的,因为Access会对其中的内容进行处理,在数据库里它会以< %的形式存在,无效哦!正确的方法应该是将<%存入OLE对象字段里,这样我们的防范目的才能达到。
操作方法如下: 先用notepad新建一个内容为“<%”的文本文件,然后随便取个名字存档。接着,用Access打开你的数据库文件,新建一个表,随便取个什么名字,然后在表中添加一个OLE对象的字段,并添加一条记录,插入之前建立的文本文件,要是操作正确,便可以看到一个新的名为“数据包”的记录。可以了!
防范措施三:在数据库名称前加上“#”等特殊符号
在数据库文件名之前加上“#”等特殊符号、然后修改数据库连接文件(如c_custom.asp)中的数据库地址,也可以起到不错的保护作用。原理是:当歹徒下载的时候,浏览器或下载工具将只能识别“#”符号前的部分地址,而对于“#”后面的名将自动去除。举个例子,假设你要下载:http://www.diyidu.cn/date/#123.mdb(如果存在的话),当你输入该地址回车,此时无论是Ie还是Flashget等,下载到的将都是http://www.diyidu.cn/date/index.htm(index.asp、default.jsp等你在IIS设置的首页文档)。
另外,在数据库文件名中保留一些空格也能起到类似作用,由于Http协议对地址解析的非凡性,空格会被编译为“%”,比如你要下载:http://www.diyidu.cn/date/123 456.mdb(123与456之间是个空格),当你输入该地址回车,此时你下载到的将是http://www.diyidu.cn/date/123%456.mdb。而我们的目录中,根本就没有123%456.mdb这个文件,所以下载也是无效的。经过这样的修改以后,即使你暴露了数据库地址,一般情况下别人也无法下载得到。所以,这项措施的安全指数较之前两法,有更高了一筹。
防范措施四:为你的Access数据库加密
选取“工具-》安全-》加密/解密数据库,选取数据库(如:ABC.mdb)”,然后按确定,接着会出现“数据库加密后另存为”的窗口,另存为:ABC1.mdb,接着原数据库ABC.mdb就会被编码,然后另存为ABC1.mdb。注意,以上动作并不是对数据库设置密码,而是对数据库文件加以编码,目的是为了防止他人使用查看工具来查阅数据库文件中的内容。接下来的操作是:首先打开经过编码了的ABC1.mdb,在打开时,选择“独占”方式。然后选取功能表中的“工具-》安全-》设置数据库密码”, 接着输入密码即可。这样即使他人得到了ABC1.mdb文件,没有密码也是无法看到ABC1.mdb的。最后,记得加密完要同步修改数据库连接文件哦!
一点小说明:由于Access数据库的加密机制相对简单,即使设置了密码,解密也很轻易。只要数据库被下载了,其信息安全依然是个未知数。所以,此法也不是最佳。
防范措施五:将数据库放在Root目录以外或将数据库连接文件放到其他虚拟目录下
这个方法是低一度目前正在使用的,强烈推荐之。比方说,你的WEB目录是D:\wwwroot,那么你可以将数据库放到D:\databases这个文件夹里,然后修改D:\wwwroot里的数据库连接文件,将数据库连接地址修改为:“../databases/数据库名” 的形式,这样数据库也可以正常调用,但是就无法下载了,因为它不存在于wwwroot目录里!这个方法一般不适合于购买虚拟主机的用户。当然,现在的多数虚拟主机程序在wwwroot目录平行位置,已经都有独立的databases目录了,这样子处理后相对来说是最安全的。因为在http环境下,根本没有url可以指向这个目录。除非黑了整台主机!
防范措施六:学会使用ODBC数据源。
在ASP等程序设计中,假如技术条件允许,应当尽量使用ODBC数据源,不要将数据库名写进程序中,否则,数据库名将跟随Asp源代码一同失密,即使你的数据库名字起得再怪异,隐藏的目录再深,也可能很轻易被下载下来。假如使用了ODBC数据源,就不会存在这样的问题了:conn.open “ODBC-DSN名” ,不过这样是比较繁琐的,目录移动的话就要重新设置,更方便的方法请看下面吧!使用ODBC数据源处理的结果有一点不好,就是效率很低,速度会变慢,迁移也不方便。因此虽然安全,也不提倡。
防范措施七:添加数据库名的扩展映射
这个方法就是通过修改IIS设置来实现的,适合有IIS控制权的同学使用,不适合购买虚拟主机的用户(除非技术已经设置了)。但这个方法我认为是目前最好最可靠的。只要修改一处,整个站点的数据库都可以防止被下载,而无须修改代码,即使暴露目标地址也无妨。
操作:在“IIS属性——主目录——配置——映射——应用程序扩展”那里添加如.mdb文件的应用解析。注意,这里的选择的DLL(或EXE等)似乎也不是任意的,选择不当,这个MDB文件还是可以被下载的,最好不要选择asp.dll等。你可以自己多测试几下。经过这样的修改后,下载数据库如:http://www.diyidu.cn/data/123.mdb,就会出现404或500等错误。
防范措施八:懂得利用.net的优越性
动网的木鸟就写过一个防非法下载文件的“WBAL防盗链工具”。不过它只实现了防非本地下载的,没有起到真正的防下载数据库的功能。但这个方法已经跟措施五差不多,可以通过修改.NET文件,实现本地也不能下载!
最后总结:这几个措施中,只有七和八是统一性改的,一次修改配置后,整个站点的数据库都可以防下载,其他的几个措施就要分别修改数据库名和数据库连接文件了,比较麻烦,不过对于使用虚拟主机的朋友而言,也只能这样了!另外,其实第六个措施应该是第五个措施的扩展,可以实现非凡的功能,但如果对不支持.net的主机或怕设置麻烦的人而言,还是直接用第五种措施好了。OK,就这些吧!
原文地址:http://www.diyidu.cn/post/access_safe.html