如何防范网站数据库入侵

搜狐、163、雅虎等都是众网民经常光顾的大型门户网站,这些网站提供的搜索引擎服务最受大家的青睐。可是恰恰是这些搜索引擎为黑客大开方便之门,许多黑客可以利用搜索引擎很容易地得到一个网站的数据库,从而得到网站的管理账号和密码,并可以控制到整个网站的
管理权。这样一来,一些保存在数据库里只有管理员才能看到的机密文件就被泄露出来。
其实通过搜索引擎入侵网站过程十分简单,了解了入侵的方法,也就可以知道如何解决问题。
那么防范的具体方法到底是怎么样的呢?
首先从入侵者角度着手,分析一段代码: 〈%connstr=“DBQ=“+server.mappath(“data/data.mdb”)+”;DefaultDir=;DRIVER={Microsoft Access Driver (*.mdb)};” set conn=server.createobject(“ADODB.CONNECTION”) conn.open connstr %〉 以上是一段ASP的调用数据库的代码,其中“+server.mappath(“data/data.mdb”)+”起到设定数据库位置的作用。从中不难看出这个网站的数据库在dada目录中的data.mdb文件中。 很多大型网站的搜索引擎中,有一个强大的功能,就是可以搜索未在本搜索引擎注册过的网页。利用这个功能,让我们来搜索“server.mappath”这个字段。结果得到的结果是: [无标题文档] ……=“+server.mappath(“../up/mucal/calp.mdb”)+”;DefaultDir=;DRIVER={Microsoft Access Driver (*.mdb)};” set conn=…… -(网址:略) 这样,用户
就会得到很多带有数据库位置信息的搜索结果。但结果中会存在一些水分,而且范围太大。如果用户只想得到某一个网站的代码该怎么办呢?其实这个也很简单,搜索引擎通常带有多关键词查询功能,只要在所要搜索的两个关键词中间输入一个“+”就可以了。比如用户要
查找有关于计算机世界网站中关于网络安全的所有网页,只要用户在搜索引擎中键入“计算机世界+网络安全”即可。
同样,用户可以用这个方法来解决上面的那个问题。如果用户要得到某一个程序的数据库,比如这个程序的名字是《小牛江湖》,那么用户在搜索引擎中搜索“小牛江湖+ server.mappath”就可以得到下面的结果: [小牛江湖] ……=“+server.mappath(“../xajh/data/mycalf.mdb”)+;DefaultDir=;DRIVER={Microsoft Access Driver (*.mdb)};” set conn=…… -(网址:www.mycalf.com/xajh/index.asp) 此时,这个程序的数据库位置便一目了然:/xajh/data/mycalf.mdb。接下来用户把这个数据库下载下来,用相应的数据库软件打开,就可以得到其中的内容。利用这个漏洞还可以得到mssql server的口令,甚至可以进一步的去管理
对方的整个服务器。 天下有矛就该有盾。这个被别人利用搜索引擎得到网站数据库的问题可以用许多方法化解,最有效的方法之一就是隐藏这段语句,利用调用其他文件的方法来实现调用数据库。 首先需要建立一个内容为〈% connstr=“DBQ=“+server.mappath(“data/data.mdb”)+”;DefaultDir=;DRIVER={Microsoft Access Driver (*.mdb)};” set conn=server.createobject(“ADODB.CONNECTION”) conn.open connstr %>的ASP文件。比如把这个文件命名为dbconn.asp。这样只要在需要调用数据库的ASP文件中加入!--#include file=“dbconn.asp”-->就可以实现数据库的调用。如此,便实现了调用语段的隐藏,解决了被
他人利用搜索引擎得到网站数据库的问题。   责任编辑 赵毅 zhaoyi#51cto.com TEL:(010)68476636-8001 给力(0票)动心(0票)废话(0票)专业(0票)标题党(0票)路过(0票) 原文:如何防范网站数据库入侵 返回网络安全首页

时间: 2024-09-28 17:50:34

如何防范网站数据库入侵的相关文章

linux网站被入侵后的修复和防范笔记

题记: 很久以前,我用CMS搭建了一个站点,采集了一些内容,之后就没有打理了,成为了一个没人维护的垃圾站.昨天偶尔发现网站不知何时被挂了黑链,网站之前就被黑过一次,造成了整站数据被下载,模板被贩卖- 以前总是在分享如何对别人的网站进行入侵检测,这次自己的网站也被入侵了.呵呵,正好借此机会分享一下网站被入侵后的修复和防范措施,在攻与防的对立统一中寻求突破. 1.发现问题 虽然是一个不再打理的小站,但偶尔也会打开看一下.看看互链接网站,清理下友情链接什么的.这次就是在清理友情链接的时候,发现了代码中

安全漏洞-数据库入侵检测技术|数据库系统如何防止黑客入侵~

问题描述 数据库入侵检测技术|数据库系统如何防止黑客入侵~ QQ200832005渗透测试方面的单子(可兼职也可接私活) 技能要求 具有至少1年以上的职业黑客攻击经验,并实际操作过各类项目,拒绝理论派.熟悉渗透测试服务器提权方面. 1.掌握MySQL.MSSQL.Oracle.PostgreSQL等一种或多种主流数据库结构以及特殊性. 2.熟悉渗透测试的步骤.方法.流程.熟练掌握各种渗透测试工具. 3.有主机.网络或Web安全渗透测试相关项目实施经验&. 4.对网站/服务器的结构有敏锐的洞察力,

sql server数据|sql server数据库入侵渗透~~求大神

问题描述 sql server数据|sql server数据库入侵渗透~~求大神 QQ200832005[招聘]渗透测试工程师(可兼职也可接私活) 技能要求 具有至少1年以上的职业黑客攻击经验,并实际操作过各类项目,拒绝理论派.熟悉渗透测试服务器提权方面. 1.掌握MySQL.MSSQL.Oracle.PostgreSQL等一种或多种主流数据库结构以及特殊性. 2.熟悉渗透测试的步骤.方法.流程.熟练掌握各种渗透测试工具. 3.有主机.网络或Web安全渗透测试相关项目实施经验&. 4.对网站/服

测试工具-后台数据库入侵|后台数据库渗透测试。后台数据库导入!!

问题描述 后台数据库入侵|后台数据库渗透测试.后台数据库导入!! QQ200832005渗透测试方面的单子(可兼职也可接私活) 技能要求 具有至少1年以上的职业黑客攻击经验,并实际操作过各类项目,拒绝理论派.熟悉渗透测试服务器提权方面. 1.掌握MySQL.MSSQL.Oracle.PostgreSQL等一种或多种主流数据库结构以及特殊性. 2.熟悉渗透测试的步骤.方法.流程.熟练掌握各种渗透测试工具. 3.有主机.网络或Web安全渗透测试相关项目实施经验&. 4.对网站/服务器的结构有敏锐的洞

菜农认为网站数据库应该存储的注册信息

问题描述 正在研究HotWC3的碰撞问题,因为任何哈希函数存在着碰撞问题,例如王晓云教授研究MD5碰撞的成果.但是论坛或邮箱都可以用验证码来阻止穷举散列数的频率,输入密码错误次数锁定并发送绑定邮箱或绑定手机通知用户.这些都可以防范.但是存储散列值应该说比存储密文密码要安全的多,但单向散列函数故有的碰撞特性任何人都无法回避.为了在输入流中隐含更多的各方信息,例如散列数中同时隐含了用户和网站各自的信息例如:用户持有:用户名和用户密码网站持有:用户名和网站特定码和散列值.其中:散列值=哈希函数(用户名

数据库入侵的比率高达75%

如今的顶尖黑客必然都是顶尖的商人,因为他们会评估出哪些目标最简单,哪些目标最有利可图.而可能没有比脆弱企业数据库更好对付的目标了.一般来说,企业的数据库中存储着这家公司最重要的机密:客户名单.工资记录.以及其他许多关键信息,而这些都是最容易卖出好价钱的.更何况数据库的管理员们往往不会想在安全性上精益求精,而且数据库本身常常和网络应用联系在一起,这些都是企业数据库经常受到攻击的原因.在Verizon Business的年度计算机破坏报告中指出,在2008年的数据丢失案中,数据库破坏占据了30%.更

sql-购物网站数据库订单表的设计问题

问题描述 购物网站数据库订单表的设计问题 学生党在做毕业设计,sql语句不会写了,求各位大神帮帮忙 数据库是个B2C数据库购物车表CarcartNo(编号),proNo(商品编号),proName,proPrice,proNum(购买数量),cusNo(顾客id) 现在要做的是把购物车的内容写入订单表,要求订单表至少要有编号,商品总额,订单内容(商品编号.名称和数量))顾客ID,下单时间(当前时间) 求订单表的设计方案和存储过程.主要是存储过程啊!不会写sql语句有木有TAT 或者是.net后台

文本编辑器-求助。。。网站数据库太打不开了

问题描述 求助...网站数据库太打不开了 同样的问题,就是导出之后一个文本 几百m 用正常的文本编辑器已经打不开了,该用什么打开? 解决方案 是要做一些修改吗?如果不做修改,直接用执行脚本就行了,如果要修改,可以用gvim ,这款对内存有调整,就是初始化比较慢

网站 数据库-关于网站数据库的问题

问题描述 关于网站数据库的问题 我现在在看一些开源的社交网站的源代码.他们好像都有一个共同的特点就是好像不管是发布消息还是个人私信,都会设置一个is_del的tinyint(1)的类型,用来标记是否是删除的.0表示没有被删除.1表示已经被删除.可以只是单纯的标记,并没有真正删除,仍然还是存贮在数据库当中,占用资源.我想问为什么不在数据库直接删除记录.而是这种伪删除呢??