この記事は機械翻訳のミラー記事です。元の記事にジャンプするにはこちらをクリックしてください。
建築家
建築家
リスト
放送
茶屋
インテリジェントAI会話
.NETキャリア&テクニカルカレッジ
ちっちゃいなクズブログ
この版
利用者
Architect_Programmer_Code農業ネットワーク
»
建築家
›
データベース&データベース
›
Microsoft Access/SQLite
›
2011年 MSSQL データ作成 セキュア.mdbデータベースチュートリアル
眺める:
16604
|
答える:
2
[Microsoft Access]
2011年 MSSQL データ作成 セキュア.mdbデータベースチュートリアル
[リンクをコピー]
管理者
掲載地 2014/11/26 15:46:39
|
|
|
MDBデータベースとは何ですか? ウェブサイト制作の経験があるネットワーク管理者なら、「IIS+ASP+ACCESS」の組み合わせがウェブサイト構築の最も一般的な方法であることを知っています。そして、中小規模のインターネットサイトもこの「パッケージ」を使用していますが、それに伴うセキュリティ問題はますます明らかになっています。 攻撃者にとって最も脆弱なのは、MDBデータベースの違法ダウンロードです。
侵入者がmdbデータベースへの経路を推測またはスキャンすれば、ダウンロードツールを使ってローカルのハードディスクに簡単にダウンロードでき、さらにブルートフォークや超強力なクラッキングツールと組み合わせてデータベース内のファイル内容を簡単に確認できます。そうすると、企業のプライバシーや従業員のパスワードはもはや安全ではありません。 MDBデータベースのセキュリティを強化できないのか? たとえデータが少ししかなくても、sqlserverに手を出さなければなりません。
オラクル
そうですか。 答えはノーです。この記事では、著者が安全なMDBデータベースファイルを作成する唯一の秘密を教えてくれます。
1. 危機の原因:
一般的に、ASP上で構築されたウェブサイトプログラムやフォーラムのデータベース拡張はデフォルトでmdbであり、非常に危険です。 データベースファイルの場所を推測し、ブラウザのアドレスバーにURLを入力すれば簡単にファイルをダウンロードできます。 たとえデータベースにパスワードを追加し、管理者のパスワードもMD5で暗号化されていても、ローカルでダウンロードすれば簡単に解読できます。 結局のところ、MD5はすでに暴力で壊れてしまうことがあるのですから。 したがって、データベースがダウンロードされている限り、データベース自体は全く安全ではありません。
2. よく使われる治療法:
現在、データベースファイルの違法ダウンロードを防ぐために一般的に使われている方法がいくつかあります。
(1) データベース名を変更し、深いディレクトリの下に置く。 例えば、データベース名をSj6gf5.mdbに変更し、マルチレベルディレクトリに入れると、攻撃者が単にデータベースの位置を推測するのが難しくなります。 もちろん、ASPコードファイルが漏洩した場合、どれだけ深く隠されていても無意味になるという欠点もあります。
(2) データベースの拡張をASPまたはASAに変更し、データクエリに影響を与えない名前に変更すること。 しかし、ASPやASAに変更してもダウンロードが可能な場合もあります。例えば、ASPに変えた後、IEのアドレスバーに直接ネットワークアドレスを入力します。ダウンロードのプロンプトはなく、ブラウザ上には大量の乱れた文字が表示されます。 FlashGetやVideo Conveyorのようなプロのダウンロードツールを使えば、データベースファイルを直接ダウンロードできます。 しかし、この方法にはある程度の盲点があります。侵入者は必ずしもMDBデータベースのファイル拡張子を持つファイルを保証できませんが、十分な時間とエネルギーがある侵入者はすべてのファイルをダウンロードし、拡張子を変えて推測できます。 この方法の保護レベルは大幅に低下します。
3. 作者のサイドドア:
著者のテスト中にASPやASAファイルもダウンロードされる問題に直面したので、調査の結果、以下の方法を見つけました。
データベースファイル名を「#admin.asa」に設定すれば、IEでダウンロードを完全に避けられますが、もし破壊者がデータベースの経路を推測した場合、FlashGetでダウンロードし、ダウンロードしたファイルを「admin.mdb」に改名すれば、ウェブサイトの秘密が露見します。 FlashGetをダウンロードできない方法を見つける必要がありますが、どうすればダウンロード不能にできるのでしょうか? おそらく過去のUnicodeの脆弱性の影響で、ウェブサイトはUnicodeコードを含むリンクを処理しません。 例えば、Unicodeエンコーディング(例えば「<」の代わりに「%3C」を使うなど)を使って目標を達成できます。 しかし、FlashGetがUnicodeコードを含むリンクを処理する際、Unicodeエンコーディングの対応する処理を「巧妙に」行います。例えば、「%29」のUnicodeエンコーディング形式を自動的に変換します(「、http://127.0.0.1/xweb/data/%29xadminsxx.mdb ダウンロードリンクをFlashGetに提出しますが、FlashGetはhttp: // 127.0.0.1/xweb/data/(xadminsxx.mdb、上のURLと下の名前変更された場所を見てください。FlashGetは「%29xadminsxx.mdb」を「(xadminsxx.mdb」と解釈し、「OK」ボタンをクリックしてダウンロードすると、「(xadminsxx.mdb」というファイルを探します。 つまり、FlashGetは私たちに道を誤らせるよう促しますが、もちろん見つけられず、プロンプトは失敗します。
しかし、ダウンロードが失敗した場合、攻撃者は確実に行動を起こしたがります
他
攻撃方法。 これから別の防止方法を使うこともできます。FlashGetは「(xadminsxx.mdb」というファイルを探しに行きます。私たちはそれを準備できます。「(xadminsxx.mdb」という模擬データベースを作成します。侵入者がファイルをダウンロードしようとしたときにデータベースを返してダウンロードしますが、そのデータベースファイルは偽か空で、密かに喜んでいる場合に、 実際、最終的な勝利は私たちのものです。
概要:
MDBデータベースファイルの保護手法の導入を通じて、2つのセキュリティ対策を明確にできます。1つは混乱を招く方法、すなわちハッカーが取得したいものを変更すること、例えばMDBファイルのファイル名や拡張子の変更などです。 もう一つは代替方法で、ハッカーが入手したいものを隠し、実用的な意味のないものに置き換える。これにより、たとえ侵入に成功しても偽情報を受け取り、侵入が成功したと思い込んで次の攻撃を阻止する。
|
先の:
sqlserver2008におけるメインシステムテーブルの記述
次に:
SQL 2005 データベースのセキュリティと参照整合性
関連記事
•
SQL Serverサーバーはデータベースの整合ルールを修正します
•
SQL SERVERデータベースはデフォルトの照合ルールを修正します
•
SQL Serverのレプリケーションは、データベースを新しいデータベースにクローンします
•
MySQLデータベースのテストテーブルは1,000万件のデータを挿入します
•
[翻訳] なぜNET/C#のMySqlConnectorとMySql.Dataが前者を勝ち取るのか
•
.NET/C# はDataTablesを通じて動的にテーブル構造を作成します
•
SQL SERVERデータベース用のメモリ最適化テーブル
•
SQL Serverがクラスタ化されていないインデックスに対して作成する最大varchar長
•
[AI](15)ベクターデータベースQdrantは使いやすいです
•
【AI】(14) オープンソースベクターデータベースの簡単な紹介
17172603@qq.com
掲載地 2017/10/22 14:15:09
|
支持して!! 支持して!! 支持して!! 支持して!! 支持して!! 支持して!!
閲覧したセクション
Microsoft SQL Server
免責事項:
Code Farmer Networkが発行するすべてのソフトウェア、プログラミング資料、記事は学習および研究目的のみを目的としています。 上記の内容は商業的または違法な目的で使用されてはならず、そうでなければ利用者はすべての結果を負うことになります。 このサイトの情報はインターネットからのものであり、著作権紛争はこのサイトとは関係ありません。 ダウンロード後24時間以内に上記の内容を完全にパソコンから削除してください。 もしこのプログラムを気に入ったら、正規のソフトウェアを支持し、登録を購入し、より良い本物のサービスを受けてください。 もし侵害があれば、メールでご連絡ください。
Mail To:help@itsvse.com
掲載地 2014/11/26 15:46:39
|
|
|
掲載地 2017/10/22 14:15:09