Čo je databáza MDB? Každý sieťový administrátor s určitými skúsenosťami s tvorbou webových stránok vie, že kombinácia "IIS+ASP+ACCESS" je najpopulárnejším spôsobom tvorby webu, a väčšina malých a stredných internetových stránok tento "balík" používa, no bezpečnostné problémy, ktoré s ním súvisia, sú čoraz zreteľnejšie. Jednou z najzraniteľnejších voči útočníkom je nelegálne sťahovanie databázy MDB.
Pokiaľ narušiteľ uhádne alebo naskenova cestu k databáze MDB, môžete si ju jednoducho stiahnuť na lokálny pevný disk pomocou nástroja na sťahovanie a potom ju skombinovať s hrubou silou alebo niektorými super crackingovými nástrojmi na prehľad obsahu databázových súborov vo vnútri, a súkromie podniku a heslá zamestnancov už nie sú bezpečné. Nemôžeme posilniť bezpečnosť databázy MDB? Aj keď máme len málo dát, musíme riešiť sqlserver aleboOracleNaozaj? Odpoveď je nie, v tomto článku vám autor prezradí jedinečné tajomstvo vytvorenia bezpečného MDB databázového súboru.
1. Príčiny krízy:
Vo všeobecnosti je rozšírenie databázy webových programov a fór postavených na ASP štandardne mdb, čo je veľmi nebezpečné. Súbor si môžete jednoducho stiahnuť tak, že uhádnete polohu databázového súboru a zadáte jeho URL do adresného riadku prehliadača. Aj keď pridáme heslo do databázy a heslo administrátora vo vnútri je tiež zašifrované MD5, je ľahké ho po lokálnom stiahnutí prelomiť. Napokon, MD5 sa už dá rozbiť násilím. Preto pokiaľ je databáza stiahnutá, nie je vôbec bezpečná.
2. Bežne používané metódy liečby:
V súčasnosti existuje niekoľko bežne používaných metód na zabránenie nelegálnemu sťahovaniu databázových súborov.
(1) Upraviť názov databázy a umiestniť ho pod hlboký adresár. Napríklad zmena názvu databázy na Sj6gf5.mdb a jej umiestnenie do viacúrovňového adresára sťažuje útočníkovi jednoducho odhadnúť polohu databázy. Samozrejme, nevýhodou je, že ak sa súbor kódu ASP unikne, je zbytočný, nech je skrytý akokoľvek hlboko.
(2) Zmeniť rozšírenie databázy na ASP alebo ASA a ďalšie názvy, ktoré neovplyvňujú dátový dotaz. Niekedy sa však dá stiahnuť aj po zmene na ASP alebo ASA, napríklad po zmene na ASP zadáme sieťovú adresu priamo do adresného riadku IE, hoci nie je žiadna výzva na stiahnutie, ale v prehliadači sa objaví veľké množstvo nezrozumiteľných znakov. Ak použijete profesionálny nástroj na sťahovanie, ako je FlashGet alebo Video Conveyor, môžete si databázový súbor stiahnuť priamo. Táto metóda však má určitú slepotu, veď narušiteľ nemôže zabezpečiť, že súbor je nevyhnutne súbor s príponou MDB na úpravu databázy, ale tí, ktorí majú dostatok energie a času, môžu stiahnuť všetky súbory a zmeniť príponu na odhad. Úroveň ochrany tejto metódy bude výrazne znížená.
3. Bočné dvere autora:
Počas autorského testu som narazil na problém, že sa budú sťahovať aj súbory ASP a ASA, takže som po výskume našiel nasledujúcu metódu.
Ak pri pomenovaní databázového súboru nazvete "#admin.asa", môžete sa úplne vyhnúť sťahovaniu pomocou IE, ale ak vandal uhádne cestu databázy, stále ho môžete úspešne stiahnuť cez FlashGet a potom premenovať stiahnutý súbor na "admin.mdb", potom sa tajomstvo webovej stránky odhalí. Takže musíme nájsť spôsob, ako zabezpečiť, aby sa FlashGet nesťahoval, ale ako ho môžeme urobiť nestiahnuteľným? Pravdepodobne kvôli predchádzajúcim unicode zraniteľnostiam webové stránky nebudú spracovávať odkazy obsahujúce unicode kód. Takže môžeme použiť unicode kódovanie (napríklad môžeme použiť "%3C" namiesto "<" a podobne) na dosiahnutie našich cieľov. Avšak keď FlashGet spracováva odkazy obsahujúce unicode kód, "šikovne" vykonáva zodpovedajúce spracovanie unicode kódovania, napríklad automaticky konvertuje unicode kódovaciu formu "%29" na (", takže pošlete odkaz na stiahnutie http://127.0.0.1/xweb/data/%29xadminsxx.mdb do FlashGetu, ale on ho interpretuje ako http: // 127.0.0.1/xweb/data/(xadminsxx.mdb, pozrite sa, kde máme URL vyššie a premenované miesto nižšie, FlashGet interpretuje "%29xadminsxx.mdb" ako "(xadminsxx.mdb", a keď klikneme na tlačidlo "OK" na stiahnutie, hľadá súbor s názvom "(xadminsxx.mdb". To znamená, že FlashGet nás predstaví, aby sme sa zbláznili, a samozrejme ho nemôže nájsť, takže výzva zlyhá.
Ak však stiahnutie zlyhá, útočník určite bude chcieť konaťinýMetóda útoku. Z toho môžeme použiť inú metódu prevencie, keďže FlashGet hľadá súbor nazvaný "(xadminsxx.mdb", môžeme preň pripraviť, vytvoríme simulovanú databázu nazvanú "(xadminsxx.mdb", takže keď chce votrelca súbor stiahnuť, síce si stiahne databázu späť, ale databázový súbor je falošný alebo prázdny, keď sa tajne radujú, V skutočnosti je konečné víťazstvo naše.
Zhrnutie:
Týmto zavedením metódy ochrany databázových súborov MDB môžeme objasniť dve bezpečnostné opatrenia: jedným je mätúca metóda, teda zmena toho, čo chce hacker získať, napríklad zmenou názvu súboru alebo prípony MDB súboru; Druhá je alternatívna metóda, teda skryť, čo hacker chce získať, a nahradiť to niečím, čo nemá praktický význam, takže aj keď hacker úspešne vtrhne, získa falošnú informáciu a on si bude myslieť, že prienik bol úspešný, a zastaví ďalší útok.
|
|
Zverejnené 26. 11. 2014 15:46:39
|
|
|
Zverejnené 22. 10. 2017 14:15:09
|
