Czym jest baza danych MDB? Każdy administrator sieci z pewnym doświadczeniem w tworzeniu stron wie, że kombinacja "IIS+ASP+ACCESS" jest najpopularniejszym sposobem budowy strony, a większość małych i średnich stron internetowych korzysta z tego "pakietu", ale problemy z bezpieczeństwem z nim związane stają się coraz bardziej widoczne. Jednym z najbardziej podatnych na atakujących jest nielegalne pobieranie bazy danych MDB.
Dopóki intruz zgaduje lub skanuje ścieżkę do bazy danych MDB, możesz łatwo pobrać ją na lokalny dysk twardy za pomocą narzędzia do pobierania, a następnie połączyć z narzędziami do łamania siłą lub jakimiś super narzędziami, by łatwo przeglądać zawartość pliku bazy danych, a prywatność przedsiębiorstwa i hasła pracowników nie są już bezpieczne. Czy nie możemy wzmocnić bezpieczeństwa bazy danych MDB? Nawet jeśli mamy tylko trochę danych, musimy załatwić sqlserver lubWyroczniaNaprawdę? Odpowiedź brzmi: nie, w tym artykule autor zdradzi Ci unikalny sekret tworzenia bezpiecznego pliku bazy danych MDB.
1. Przyczyny kryzysu:
Ogólnie rzecz biorąc, rozszerzenie bazy danych programów i forów internetowych opartych na ASP to domyślnie mdb, co jest bardzo niebezpieczne. Możesz łatwo pobrać plik, zgadując lokalizację pliku bazy danych i wpisując jego adres URL w pasku adresu przeglądarki. Nawet jeśli dodamy hasło do bazy danych, a hasło administratora w środku jest również zaszyfrowane przez MD5, łatwo jest je złamać po lokalnym pobraniu. W końcu MD5 już można złamać przez przemoc. Dlatego dopóki baza danych jest pobierana, nie jest ona w ogóle bezpieczna.
2. Powszechnie stosowane metody leczenia:
Obecnie istnieje kilka powszechnie stosowanych metod zapobiegania nielegalnemu pobieraniu plików baz danych.
(1) Zmodyfikuj nazwę bazy danych i umieść ją w głębokim katalogu. Na przykład zmiana nazwy bazy na Sj6gf5.mdb i umieszczenie jej w katalogu wielopoziomowym utrudnia atakującemu po prostu odgadnięcie lokalizacji bazy danych. Oczywiście wadą tego jest to, że jeśli plik kodu ASP zostanie wyciekły, jest bezużyteczny, niezależnie od tego, jak głęboko jest ukryty.
(2) Zmiana rozszerzenia bazy danych na ASP lub ASA oraz inne nazwy, które nie wpływają na zapytanie danych. Czasami jednak można go pobrać po zmianie na ASP lub ASA, na przykład po zmianie na ASP wpisujemy adres sieciowy bezpośrednio w pasku adresowym IE, choć nie ma ppytania o pobranie, ale w przeglądarce pojawia się duża liczba zniekształconych znaków. Jeśli użyjesz profesjonalnego narzędzia do pobierania, takiego jak FlashGet lub Video Conveyor, możesz bezpośrednio pobrać plik bazy danych. Jednak ta metoda ma pewną ślepotę, w końcu intruz nie może zapewnić, że plik musi być plikiem z rozszerzeniem MDB do modyfikacji pliku bazy danych, ale ci, którzy mają wystarczająco energii i czasu, mogą pobrać wszystkie pliki i zmienić rozszerzenie, by zgadywać. Poziom ochrony tej metody znacznie się obniży.
3. Boczne drzwi autora:
Podczas testu autora napotkałem problem, że pliki ASP i ASA również będą pobierane, więc po przeprowadzeniu badań znalazłem następującą metodę.
Jeśli nazwasz plik bazy "#admin.asa" podczas nadawania nazwy, możesz całkowicie uniknąć pobierania go za pomocą IE, ale jeśli wandal zgadnie ścieżkę bazy danych, nadal możesz go pobrać za pomocą FlashGet, a następnie zmienić nazwę pobranego pliku na "admin.mdb", wtedy sekret strony zostanie ujawniony. Musimy więc znaleźć sposób, by FlashGet nie pobierał, ale jak sprawić, by nie był do pobrania? Prawdopodobnie z powodu wcześniejszych luk Unicode, strony internetowe nie przetwarzają linków zawierających kod Unicode. Możemy więc używać kodowania unicode (na przykład używać "%3C" zamiast "<" itd.), aby osiągnąć nasze cele. Jednak gdy FlashGet przetwarza linki zawierające kod unicode, "sprytnie" wykonuje odpowiadające mu oblicze kodowania unicode, na przykład automatycznie konwertuje formę kodowania unicode "%29" na (", więc wysyłasz link do pobrania http://127.0.0.1/xweb/data/%29xadminsxx.mdb do FlashGet, ale on interpretuje go jako http: // 127.0.0.1/xweb/data/(xadminsxx.mdb, spójrz na adres URL powyżej i miejsce na przemianowane poniżej, FlashGet interpretuje "%29xadminsxx.mdb" jako "(xadminsxx.mdb", a gdy klikamy przycisk "OK", aby pobrać, szuka pliku o nazwie "(xadminsxx.mdb". To znaczy, FlashGet wprowadza nas do zmylienia, ale oczywiście nie może go znaleźć, więc prompt zawodzi.
Jednak jeśli pobranie się nie powiedzie, atakujący na pewno będzie chciał podjąć działaniainnyMetoda ataku. Na tej podstawie możemy użyć innej metody zapobiegania, ponieważ FlashGet szuka pliku o nazwie "(xadminsxx.mdb", możemy przygotować taki plik, tworzymy symulowaną bazę danych o nazwie "(xadminsxx.mdb", tak aby gdy intruz chce pobrać plik, pobiera ją z powrotem, ale plik bazy jest fałszywy lub pusty, gdy potajemnie się radują, W rzeczywistości ostateczne zwycięstwo należy do nas.
Podsumowanie:
Dzięki temu wprowadzeniu metody ochrony plików bazy danych MDB możemy wyjaśnić dwa środki bezpieczeństwa: pierwszy to metoda myląca, czyli zmiana tego, co haker chce uzyskać, na przykład zmiana nazwy pliku lub rozszerzenia pliku MDB; Drugą jest alternatywna metoda, czyli ukrycie tego, co haker chce zdobyć, i zastąpienie tego czymś, co nie ma praktycznego znaczenia, tak aby nawet jeśli haker uda się włamać, otrzymał fałszywą informację, a on pomyślał, że włamanie się powiodło i zatrzymał kolejny atak.
|
|
Opublikowano 26.11.2014 15:46:39
|
|
|
Opublikowano 22.10.2017 14:15:09
|
