打响数据库保卫战 建一面“铜墙铁壁”

WBOY
Lepaskan: 2016-06-07 15:23:27
asal
1351 orang telah melayarinya

欢迎进入网络安全论坛,与300万技术人员互动交流 >>进入 数据库对于一个网站来说意味着什么?可能有很多站长会说只是一个记录数据的工具。这种说法固然没错,但是却遗漏了重要的一点,数据库也是一个网站安全的中心,一旦数据库被黑客得到,那么轻则得到网站

欢迎进入网络安全论坛,与300万技术人员互动交流 >>进入

  数据库对于一个网站来说意味着什么?可能有很多站长会说只是一个记录数据的工具。这种说法固然没错,但是却遗漏了重要的一点,数据库也是一个网站安全的中心,一旦数据库被黑客得到,那么轻则得到网站数据和用户隐私信息,重则渗透网站,影响整个服务器的安全。正因为很多站长对数据库的安全意识不够,才导致很多安全问题的发生。本文将让大家了解数据库对一个网站的重要性,并为数据库建造一面“铜墙铁壁”。

  一、数据库的获取

  数据库对网站重要性不言而喻,那么黑客是通过什么手段得到网站数据库的呢?
 
  1.默认的数据库路径
 
  很多站长建站或论坛使用的都是现成的整站程序,这就造成了一个很大的安全隐患,即默认的数据库的路径。虽然在这些程序的说明文档中都提示修改数据库的默认路径,但是仍有些安全意识不高的站长不屑于修改或者不会修改。这样当黑客在该网站的地址后输入默认数据库的路径,就可以轻易下载到数据库。
 
  2.暴库显示路径
 

打响数据库保卫战 建一面“铜墙铁壁”
图1.成功暴出数据库 

  3.防下载设置不够严密
 
  排除程序的原因,数据库被下载很大一部分的原因是人为因素。有些站长已经认识到数据库的重要性,虽然没有修改默认的路径,但是将数据库默认的后缀名“mdb”改为了“asp”,这样即使别人知道了数据库的路径,也无法在浏览器中进行下载,而是直接在页面中显示数据库的内容,当然都是一些乱码。不过我们虽然无法在浏览器中下载,却可以借用专用的下载软件来实现数据库的下载,或者将页面中出现的所有内容复制到一个文本文档中,然后将这个文档的后缀名改为“mdb”。
 
  还有一种情况就是站长在数据库的文件名中加入了“#”符号,例如原来的数据库名为123.mdb,加入“#”号后变成“#123.mdb”,这样当我们在地址栏中直接输入“http://www.***.com/#123.mdb”,是无法下载数据库的,而是显示“无法找到网页”。这是因为浏览器的编码格式会默认将“#”号变为“%23”,这样就成了另外一个网址,当然不可能下载到数据库。那么我们反过来将“%23”替换为“#”,填入到网址中,数据库不就可以正确下载了吗?

[1] [2] [3] 

打响数据库保卫战 建一面“铜墙铁壁”

Label berkaitan:
sumber:php.cn
Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Tutorial Popular
Lagi>
Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan