當(dāng)前位置:工程項目OA系統(tǒng) > 泛普各地 > 重慶OA系統(tǒng) > 重慶OA信息化
Web數(shù)據(jù)庫安全防護(hù)實例講解
數(shù)據(jù)庫是Web的命脈,由于管理者的安全疏漏使得其成為攻擊者入侵Web的入口。如何來加固Web數(shù)據(jù)庫呢?筆者就以當(dāng)前使用比較廣泛的Access和MSSQL數(shù)據(jù)庫為例,說說Web數(shù)據(jù)庫的安全防護(hù)。
1、Access數(shù)據(jù)庫防下載
數(shù)據(jù)庫被下載這對Web來說幾乎是毀滅性的,因為攻擊者從中可以獲取包括管理員帳戶及密碼等在內(nèi)的敏感信息,然后實施進(jìn)一步的攻擊??杀幌螺d的數(shù)據(jù)庫主要是Access數(shù)據(jù)庫,采用這種數(shù)據(jù)庫的Web站點不在少數(shù)。防止Access數(shù)據(jù)庫下載,可以從以下幾個方面入手。
(1)數(shù)據(jù)庫改名
數(shù)據(jù)庫改名包括兩部分,首先將其改成比較生僻的名稱,建議名字足夠長并使用某些特殊字符以防被攻擊者猜中。另外,將mdb后綴改為asp,以防數(shù)據(jù)庫被下載。當(dāng)然數(shù)據(jù)庫改名后,數(shù)據(jù)庫連接配置文件也要進(jìn)行修改。(圖1)
2)改變數(shù)據(jù)庫路徑
站點系統(tǒng)都有默認(rèn)的數(shù)據(jù)庫路徑,由于安全意識淡薄,部署Web站點時有很多人不去修改數(shù)據(jù)庫路徑,因而攻擊者很容易地猜到該站點的數(shù)據(jù)庫路徑。
更改數(shù)據(jù)庫路徑,大家可以在站點目錄下創(chuàng)建比較生僻的目錄,然后將數(shù)據(jù)庫文件拷貝到該目錄中。當(dāng)然,更改數(shù)據(jù)庫路徑后,需要修改站點系統(tǒng)的數(shù)據(jù)庫連接文件。一般asp站點系統(tǒng)的數(shù)據(jù)庫連接文件是conn.asp。打開該文件后,然后根據(jù)實際情況進(jìn)行修改,使得其跟當(dāng)前的數(shù)據(jù)庫路徑相一致。(圖2)
(3)設(shè)置好目錄權(quán)限
要設(shè)置好數(shù)據(jù)庫目錄的訪問權(quán)限,原則是權(quán)限最小化以防止非正常的訪問。因為Web程序是通過IIS用戶運行的,我們只要給IIS用戶讀取和寫入權(quán)限,然后通過“IIS管理器”把這個目錄的腳本執(zhí)行權(quán)限去掉,防止入侵者在該目錄中通過上傳獲得webshell了。(圖3)
(4)添加mdb的擴(kuò)展映射
IIS對于不能解析的文件類型就會彈出下載對話框讓用戶下載,我們可以通過在IIS管理器中添加對mdb的擴(kuò)展映射,防止數(shù)據(jù)庫被下載。其設(shè)置方法是:打開IIS管理器定位到相應(yīng)的Web站點,右鍵選擇“屬性”,然后依次點擊“主目錄→配置→映射”,在“應(yīng)用程序擴(kuò)展”里面添加.mdb文件應(yīng)用解析,至于用于解析它的可執(zhí)行文件大家可以自己進(jìn)行選擇,只要讓攻擊者無法訪問數(shù)據(jù)庫文件就可以了。(圖4)
5)數(shù)據(jù)庫改造
思路是將數(shù)據(jù)庫后綴名(.mdb)修改為.asp,然后在數(shù)據(jù)庫中加上一個NotDownLoad的表以防數(shù)據(jù)庫被下載。具體操作方法如下:
首先新建一個.asp文件(notdown.asp),其代碼如下:
db="DataShop.asp" '這里改成你的數(shù)據(jù)庫地址,這是相對根目錄的地址
set conn=server.createobject("Adodb.Connection")
connstr="Provider=Microsoft.Jet.OLEDB.4.0;Data Source="&Server.MapPath(db)
conn.open connstr
conn.execute("create table notdownload(notdown oleobject)")
set rs=server.createobject("adodb.recordset")
sql="select * from notdownload"
rs.open sql,conn,1,3
rs.addnew
rs("notdown").appendchunk(chrB(asc("<")) & chrB(asc("%")))
rs.update
rs.close
set rs=nothing
conn.close
set conn=nothing
然后在服務(wù)器端運行notdown.asp,這樣在數(shù)據(jù)庫添加了包含notdown字段的notdownload數(shù)據(jù)表,即可防止數(shù)據(jù)庫的下載,因為notdown有一個值是"< %",asp運行是因缺少"% >"關(guān)閉標(biāo)記而拒絕訪問,下載當(dāng)然會失敗。(圖5)
- 1盤點OA知名廠商 新一輪角逐誰能勝出?
- 2選OA先看OA用戶怎么說
- 3“網(wǎng)絡(luò)安全”必須要關(guān)注的兩大安全技術(shù)
- 4如何降低能耗建造綠色數(shù)據(jù)中心?
- 5OA選型應(yīng)注意的幾個問題
- 6酒店行業(yè)案例:協(xié)同辦公OA平臺加速錦江國際酒店品牌國際化腳步
- 7OA辦公軟件都有哪些功能呢?
- 8OA知道:提供在線OA問題解答回復(fù)功能
- 9協(xié)同辦公軟件支撐XX特種紙股份公司的戰(zhàn)略發(fā)展要求
- 10如何降低企業(yè)虛擬化數(shù)據(jù)中心的安全風(fēng)險
- 11各大服務(wù)器廠商虛擬化技術(shù)剖析
- 12分析:“云安全”到底是噱頭還是趨勢?
- 13保障虛擬服務(wù)器環(huán)境安全的二十四個措施
- 14微軟悄然布局協(xié)同辦公
- 15一正啟源協(xié)同辦公基礎(chǔ):什么是OA?
- 16協(xié)同管理系統(tǒng)的公司公告、新聞介紹
- 17保證數(shù)據(jù)安全:責(zé)任分離在信息領(lǐng)域的應(yīng)用
- 18辦公OA不斷提升員工自我管理的內(nèi)力
- 19災(zāi)難恢復(fù)計劃:企業(yè)至關(guān)重要的生存之道
- 20萬戶協(xié)同辦公推動企業(yè)飛速發(fā)展
- 21泛普軟件OA協(xié)同辦公系統(tǒng)實現(xiàn)集團(tuán)化分權(quán)管理
- 22OA產(chǎn)品智能搜索個人工作桌面介紹
- 23微軟未來展望:windows 7和windows云
- 24OA辦公自動化系統(tǒng) 人力資源管理系統(tǒng)
- 25安徽省公安廳協(xié)同辦公系統(tǒng)案例
- 26源天協(xié)同辦公系統(tǒng)備受咨詢公司青睞
- 27概念“云計算”:計算的烏托邦?
- 28調(diào)查:靜態(tài)數(shù)據(jù)造成高成本主存儲的浪費
- 29大眾保險協(xié)同辦公OA系統(tǒng)提升企業(yè)管理
- 30虛擬化僅僅是云計算的補(bǔ)充
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓