監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉
重慶OA信息化

當(dāng)前位置:工程項目OA系統(tǒng) > 泛普各地 > 重慶OA系統(tǒng) > 重慶OA信息化

Web數(shù)據(jù)庫安全防護(hù)實例講解

申請免費試用、咨詢電話:400-8352-114

文章來源:泛普軟件 Access數(shù)據(jù)庫防下載

數(shù)據(jù)庫是Web的命脈,由于管理者的安全疏漏使得其成為攻擊者入侵Web的入口。如何來加固Web數(shù)據(jù)庫呢?筆者就以當(dāng)前使用比較廣泛的Access和MSSQL數(shù)據(jù)庫為例,說說Web數(shù)據(jù)庫的安全防護(hù)。

1、Access數(shù)據(jù)庫防下載

數(shù)據(jù)庫被下載這對Web來說幾乎是毀滅性的,因為攻擊者從中可以獲取包括管理員帳戶及密碼等在內(nèi)的敏感信息,然后實施進(jìn)一步的攻擊??杀幌螺d的數(shù)據(jù)庫主要是Access數(shù)據(jù)庫,采用這種數(shù)據(jù)庫的Web站點不在少數(shù)。防止Access數(shù)據(jù)庫下載,可以從以下幾個方面入手。

(1)數(shù)據(jù)庫改名

數(shù)據(jù)庫改名包括兩部分,首先將其改成比較生僻的名稱,建議名字足夠長并使用某些特殊字符以防被攻擊者猜中。另外,將mdb后綴改為asp,以防數(shù)據(jù)庫被下載。當(dāng)然數(shù)據(jù)庫改名后,數(shù)據(jù)庫連接配置文件也要進(jìn)行修改。(圖1)

2)改變數(shù)據(jù)庫路徑

站點系統(tǒng)都有默認(rèn)的數(shù)據(jù)庫路徑,由于安全意識淡薄,部署Web站點時有很多人不去修改數(shù)據(jù)庫路徑,因而攻擊者很容易地猜到該站點的數(shù)據(jù)庫路徑。

更改數(shù)據(jù)庫路徑,大家可以在站點目錄下創(chuàng)建比較生僻的目錄,然后將數(shù)據(jù)庫文件拷貝到該目錄中。當(dāng)然,更改數(shù)據(jù)庫路徑后,需要修改站點系統(tǒng)的數(shù)據(jù)庫連接文件。一般asp站點系統(tǒng)的數(shù)據(jù)庫連接文件是conn.asp。打開該文件后,然后根據(jù)實際情況進(jìn)行修改,使得其跟當(dāng)前的數(shù)據(jù)庫路徑相一致。(圖2)

(3)設(shè)置好目錄權(quán)限

要設(shè)置好數(shù)據(jù)庫目錄的訪問權(quán)限,原則是權(quán)限最小化以防止非正常的訪問。因為Web程序是通過IIS用戶運行的,我們只要給IIS用戶讀取和寫入權(quán)限,然后通過“IIS管理器”把這個目錄的腳本執(zhí)行權(quán)限去掉,防止入侵者在該目錄中通過上傳獲得webshell了。(圖3)

(4)添加mdb的擴(kuò)展映射

IIS對于不能解析的文件類型就會彈出下載對話框讓用戶下載,我們可以通過在IIS管理器中添加對mdb的擴(kuò)展映射,防止數(shù)據(jù)庫被下載。其設(shè)置方法是:打開IIS管理器定位到相應(yīng)的Web站點,右鍵選擇“屬性”,然后依次點擊“主目錄→配置→映射”,在“應(yīng)用程序擴(kuò)展”里面添加.mdb文件應(yīng)用解析,至于用于解析它的可執(zhí)行文件大家可以自己進(jìn)行選擇,只要讓攻擊者無法訪問數(shù)據(jù)庫文件就可以了。(圖4)

5)數(shù)據(jù)庫改造

思路是將數(shù)據(jù)庫后綴名(.mdb)修改為.asp,然后在數(shù)據(jù)庫中加上一個NotDownLoad的表以防數(shù)據(jù)庫被下載。具體操作方法如下:

首先新建一個.asp文件(notdown.asp),其代碼如下:

db="DataShop.asp" '這里改成你的數(shù)據(jù)庫地址,這是相對根目錄的地址

set conn=server.createobject("Adodb.Connection")

connstr="Provider=Microsoft.Jet.OLEDB.4.0;Data Source="&Server.MapPath(db)

conn.open connstr

conn.execute("create table notdownload(notdown oleobject)")

set rs=server.createobject("adodb.recordset")

sql="select * from notdownload"

rs.open sql,conn,1,3

rs.addnew

rs("notdown").appendchunk(chrB(asc("<")) & chrB(asc("%")))

rs.update

rs.close

set rs=nothing

conn.close

set conn=nothing

然后在服務(wù)器端運行notdown.asp,這樣在數(shù)據(jù)庫添加了包含notdown字段的notdownload數(shù)據(jù)表,即可防止數(shù)據(jù)庫的下載,因為notdown有一個值是"< %",asp運行是因缺少"% >"關(guān)閉標(biāo)記而拒絕訪問,下載當(dāng)然會失敗。(圖5)

發(fā)布:2007-04-22 09:11    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:

泛普重慶OA信息化其他應(yīng)用

重慶OA軟件 重慶OA新聞動態(tài) 重慶OA信息化 重慶OA客戶 重慶OA快博 重慶OA行業(yè)資訊 重慶軟件開發(fā)公司 重慶網(wǎng)站建設(shè)公司 重慶物業(yè)管理軟件 重慶餐飲管理軟件 重慶倉庫管理系統(tǒng) 重慶門禁系統(tǒng) 重慶微信營銷 重慶ERP 重慶監(jiān)控公司 重慶金融行業(yè)軟件 重慶B2B、B2C商城系統(tǒng)開發(fā) 重慶建筑施工項目管理系統(tǒng)開發(fā)