Kas yra MDB duomenų bazė? Bet kuris tinklo administratorius, turintis tam tikros patirties svetainių kūrime, žino, kad "IIS+ASP+ACCESS" derinys yra populiariausias būdas sukurti svetainę, o dauguma mažų ir vidutinių interneto svetainių naudoja šį "paketą", tačiau su juo susijusios saugumo problemos tampa vis akivaizdesnės. Vienas iš labiausiai pažeidžiamų užpuolikų yra neteisėtas MDB duomenų bazės atsisiuntimas.
Kol įsibrovėlis atspėja arba nuskaito kelią į mdb duomenų bazę, galite lengvai atsisiųsti jį į vietinį standųjį diską naudodami atsisiuntimo įrankį, o tada sujungti su brutalios jėgos nulaužimo įrankiais arba kai kuriais super krekingo įrankiais, kad lengvai peržiūrėtumėte duomenų bazės failo turinį viduje, o įmonės privatumas ir darbuotojų slaptažodis nebėra saugūs. Ar negalime sustiprinti MDB duomenų bazės saugumo? Net jei turime tik šiek tiek duomenų, turime problemų sqlserver arbaorakulasAr taip? Atsakymas yra ne, šiame straipsnyje autorius jums papasakos unikalią saugaus MDB duomenų bazės failo kūrimo paslaptį.
1. Krizės priežastys:
Apskritai, ASP sukurtų svetainių programų ir forumų duomenų bazės išplėtimas pagal numatytuosius nustatymus yra mdb, o tai yra labai pavojinga. Galite lengvai atsisiųsti failą atspėję duomenų bazės failo vietą ir įvesdami jo URL naršyklės adreso juostoje. Net jei į duomenų bazę pridedame slaptažodį, o viduje esančio administratoriaus slaptažodį taip pat užšifruoja MD5, jį lengva nulaužti atsisiuntus vietoje. Galų gale, MD5 jau gali būti nulaužtas smurtu. Todėl, kol duomenų bazė atsisiunčiama, duomenų bazė nėra saugi.
2. Dažniausiai naudojami gydymo būdai:
Šiuo metu yra keletas dažniausiai naudojamų būdų, kaip užkirsti kelią neteisėtam duomenų bazės failų atsisiuntimui.
(1) Pakeiskite duomenų bazės pavadinimą ir įdėkite jį į gilų katalogą. Pavyzdžiui, pakeitus duomenų bazės pavadinimą į Sj6gf5.mdb ir įdėjus jį į kelių lygių katalogą, užpuolikui sunku tiesiog atspėti duomenų bazės vietą. Žinoma, to trūkumas yra tas, kad nutekėjus ASP kodo failui, jis yra nenaudingas, kad ir kaip giliai jis būtų paslėptas.
(2) Pakeiskite duomenų bazės išplėtimą į ASP arba ASA ir kitus pavadinimus, kurie neturi įtakos duomenų užklausai. Tačiau kartais jį vis tiek galima atsisiųsti pakeitus į ASP arba ASA, pavyzdžiui, pakeitus į ASP, IE adreso juostoje tiesiogiai įvedame tinklo adresą, nors nėra raginimo atsisiųsti, tačiau naršyklėje atsiranda daug iškraipytų simbolių. Jei naudojate profesionalų atsisiuntimo įrankį, pvz., "FlashGet" arba "Video Conveyor", galite tiesiogiai atsisiųsti duomenų bazės failą. Tačiau šis metodas turi tam tikrą aklumą, juk įsibrovėlis negali užtikrinti, kad failas būtinai yra failas su MDB duomenų bazės failo modifikavimo plėtiniu, tačiau tiems įsibrovėliams, kurie turi pakankamai energijos ir laiko, jie gali atsisiųsti visus failus ir pakeisti plėtinį, kad atspėtų. Šio metodo apsaugos lygis bus labai sumažintas.
3. Autoriaus šoninės durys:
Autoriaus testo metu susidūriau su problema, kad ASP ir ASA failai taip pat bus atsisiųsti, todėl po tyrimo radau šį metodą.
Jei pavadindami duomenų bazės failą pavadinsite duomenų bazės failą "#admin.asa", galite visiškai išvengti jo atsisiuntimo naudodami IE, tačiau jei vandalas atspėja duomenų bazės kelią, vis tiek galite sėkmingai jį atsisiųsti naudodami "FlashGet", o tada pervardyti atsisiųstą failą į "admin.mdb", tada svetainės paslaptis bus atskleista. Taigi turime rasti būdą, kaip padaryti "FlashGet" neatsisiunčiamą, bet kaip galime padaryti jį neatsisiunčiamą? Tikriausiai dėl ankstesnių "Unicode" pažeidžiamumų svetainės neapdoros nuorodų, kuriose yra "Unicode" kodo. Taigi savo tikslams pasiekti galime naudoti unikodo kodavimą (pavyzdžiui, vietoj "<" ir kt. galime naudoti "%3C". Tačiau, kai FlashGet apdoroja nuorodas, kuriose yra unikodo kodas, ji "protingai" atlieka atitinkamą unikodo kodavimo apdorojimą, pvz., automatiškai konvertuoja "%29" unikodo kodavimo formą į (", todėl pateikiate http://127.0.0.1/xweb/data/%29xadminsxx.mdb atsisiuntimo nuorodą į FlashGet, bet ji interpretuoja ją kaip http: // 127.0.0.1/xweb/data/(xadminsxx.mdb, pažiūrėkite, kur turime aukščiau esantį URL ir pervadintą vietą žemiau, "FlashGet" interpretuoja "%29xadminsxx.mdb" kaip "(xadminsxx.mdb", o spustelėjus mygtuką "Gerai", kad atsisiųstume, ieškome failo pavadinimu "(xadminsxx.mdb". Tai reiškia, kad "FlashGet" supažindina mus suklysti, ir, žinoma, negali jo rasti, todėl raginimas nepavyksta.
Tačiau jei atsisiųsti nepavyks, užpuolikas tikrai norės imtis veiksmųkitasatakos metodas. Iš to galime naudoti kitą prevencijos metodą, nes "FlashGet" eina ieškoti failo pavadinimu "(xadminsxx.mdb", galime jį paruošti, sudarome imituotą duomenų bazę, pavadintą "(xadminsxx.mdb", kad įsibrovėlis norėtų atsisiųsti failą, jis atsisiųstų duomenų bazę atgal, tačiau duomenų bazės failas yra klaidingas arba tuščias, kai jie slapta džiaugiasi, Tiesą sakant, galutinė pergalė yra mūsų.
Santrauka:
Pristatydami MDB duomenų bazės failų apsaugos metodą, galime paaiškinti dvi saugumo priemones: viena yra painus metodas, tai yra, pakeisti tai, ką įsilaužėlis nori gauti, pavyzdžiui, pakeisti MDB failo pavadinimą ar plėtinį; Antrasis yra alternatyvus metodas, tai yra paslėpti tai, ką įsilaužėlis nori gauti, ir pakeisti jį tuo, kas neturi praktinės prasmės, kad net jei įsilaužėlis sėkmingai įsiveržtų, jis gautų klaidingą informaciją ir jie manytų, kad įsibrovimas sėkmingas, ir sustabdytų kitą ataką.
|
|
Paskelbta 2014-11-26 15:46:39
|
|
|
Paskelbta 2017-10-22 14:15:09
|
