Що таке база даних MDB? Будь-який мережевий адміністратор із певним досвідом у створенні вебсайтів знає, що комбінація «IIS+ASP+ACCESS» є найпопулярнішим способом створення вебсайту, і більшість малих і середніх інтернет-сайтів використовують цей «пакет», але проблеми з безпекою, пов'язані з ним, стають дедалі очевиднішими. Одним із найбільш вразливих для зловмисників є незаконне завантаження бази даних MDB.
Поки зловмисник вгадає або просканує шлях до бази даних mdb, ви можете легко завантажити її на локальний жорсткий диск за допомогою інструменту завантаження, а потім поєднати з інструментами для зламу грубої сили або супер-інструментами для перегляду файлів бази даних всередині, і приватність підприємства та пароль працівників більше не будуть у безпеці. Хіба ми не можемо посилити безпеку бази даних MDB? Навіть якщо у нас лише трохи даних, доводиться налаштовувати проблеми зі sqlserver абоОракулСправді? Відповідь — ні, у цій статті автор розповість унікальну таємницю створення захищеного файлу бази даних MDB.
1. Причини кризи:
Загалом, розширення бази даних веб-програм і форумів, побудованих на ASP, за замовчуванням є mdb, що є дуже небезпечним. Ви можете легко завантажити файл, вгадавши розташування файлу бази даних і ввівши його URL у адресний рядок браузера. Навіть якщо ми додаємо пароль до бази даних, і пароль адміністратора всередині також зашифрований MD5, його легко зламати після локального завантаження. Адже MD5 вже може бути зламаний насильством. Отже, поки база даних завантажена, вона зовсім не є захищеною.
2. Поширені методи лікування:
Наразі існує кілька поширених методів запобігання незаконному завантаженню файлів бази даних.
(1) Змінити назву бази даних і помістити її під глибокий каталог. Наприклад, зміна назви бази даних на Sj6gf5.mdb та розміщення її в багаторівневій директорії ускладнює зловмиснику просте вгадування місця бази даних. Звісно, недоліком є те, що якщо файл коду ASP витік, він марний, незалежно від того, наскільки глибоко він прихований.
(2) Змінити розширення бази даних на ASP або ASA та інші назви, які не впливають на запит до даних. Але іноді його все одно можна завантажити після зміни на ASP або ASA, наприклад, після зміни на ASP ми безпосередньо вводимо мережеву адресу в адресному рядку IE, хоча немає запиту на завантаження, але в браузері з'являється велика кількість спотворених символів. Якщо ви використовуєте професійний інструмент для завантаження, такий як FlashGet або Video Conveyor, ви можете безпосередньо завантажити файл бази даних. Однак цей метод має певну сліпоту, адже зловмисник не може гарантувати, що файл обов'язково є файлом із розширенням MDB для модифікації бази даних, але для тих порушників, які мають достатньо енергії та часу, вони можуть завантажити всі файли і змінити розширення на здогадку. Рівень захисту цього методу буде значно знижений.
3. Бічні двері автора:
Під час тесту автора я зіткнувся з проблемою, що файли ASP і ASA також будуть завантажені, тому після дослідження я знайшов наступний метод.
Якщо ви назвете файл бази даних "#admin.asa" при наданні імені файлу бази даних, ви можете повністю уникнути завантаження через IE, але якщо вандал вгадає шлях до бази даних, ви все одно зможете успішно завантажити його за допомогою FlashGet, а потім перейменувати завантажений файл на "admin.mdb", тоді секрет сайту буде розкритий. Тож нам потрібно знайти спосіб зробити так, щоб FlashGet не завантажувався, але як зробити його незавантажуваним? Ймовірно, через попередні вразливості Unicode вебсайти не обробляють посилання з кодом Unicode. Отже, ми можемо використовувати кодування в Unicode (наприклад, використовувати «%3C» замість «<» тощо) для досягнення наших цілей. Однак, коли FlashGet обробляє посилання, що містять код Unicode, він «розумно» виконує відповідну обробку кодування Unicode, наприклад, автоматично конвертує форму кодування Unicode "%29" у (", тобто ви надсилаєте посилання http://127.0.0.1/xweb/data/%29xadminsxx.mdb завантаження на FlashGet, але інтерпретує його як http: // 127.0.0.1/xweb/data/(xadminsxx.mdb, подивіться на URL вище і перейменоване місце нижче, FlashGet інтерпретує «%29xadminsxx.mdb» як «(xadminsxx.mdb», і коли ми натискаємо кнопку «OK» для завантаження, він шукає файл під назвою «(xadminsxx.mdb». Тобто, FlashGet вводить нас у заблуку, і, звісно, не може його знайти, тому підказка провалюється.
Однак, якщо завантаження не вдасться, зловмисник обов'язково захоче вжити заходівіншийМетод атаки. З цього можна використати інший метод запобігання: оскільки FlashGet шукає файл під назвою «(xadminsxx.mdb), ми можемо підготувати його для нього, створюємо імітовану базу даних під назвою «(xadminsxx.mdb», щоб коли порушник хоче завантажити файл, він завантажує базу даних назад, але файл бази даних є хибним або порожнім, коли він таємно радіє, Насправді, остаточна перемога наша.
Резюме:
Завдяки цьому введенню методу захисту файлів бази даних MDB ми можемо уточнити два заходи безпеки: перший — це заплутаний метод, тобто зміна того, чого хоче отримати хакер, наприклад, зміна імені файлу або розширення файлу MDB; Другий — альтернативний метод, тобто приховувати те, що хакер хоче отримати, і замінити це чимось, що не має практичного значення, щоб навіть якщо хакер успішно вторгнеться, він отримав хибну інформацію, і вони вважали, що вторгнення успішне, і зупинили наступну атаку.
|
|
Опубліковано 26.11.2014 15:46:39
|
|
|
Опубліковано 22.10.2017 14:15:09
|
