暴库
暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。黑客非常乐意于这种工作,为什么呢?因为黑客在得到网站数据库后,就能得到网站管理账号,对网站进行破坏与管理,黑客也能通过数据库得到网站用户的隐私信息,甚至得到服务器的最高权限。
曾经案例
黑客暴库的方法有很多,如果站长没有修改默认数据库地址,那黑客就能直接下载到数据库对网站进行控制。当然稍有安全意识的站长都会修改默认数据库地址的,通常是由于程序的漏洞导致数据库被黑客非法下载到。
在暴库的漏洞历史中,要数单引号过滤不严漏洞最为经典,入侵者只要加单引号就能暴库。这个漏洞危害非常大,曾经导致无数网站受害。还有校早版本的《动力文章系统》(一种网站系统)的%5c替换漏洞,也是非常简单,只要加%5c就能测试出漏洞。暴库漏洞出现时都导致无数网站受害。
简单的防范方法
很多人认为在数据库前面加个“#”就能够防止数据库被非法下载,但是经过研究,这是错误的。因为在IE中,每个字符都对应着一个编码,编码符%23就可以替代“#”。这样对于一个只是修改了后缀并加上了“#”的数据库文件我们依然可以下载。
比如#data.mdb为我们要下载的文件,我们只要在浏览器中输入%23data.mdb就可以以利用IE下载该数据库文件,这样一来,“#”防御手段就形同虚设一般,还有一些人看着马数据库扩展名改成ASP,其实这也是一种致命的错误,黑客下载后把扩展名修改回来就行了。
防范暴库首先必须修改默认地址,对于有自己的服务器的朋友还有一种更为保险的办法,就是将数据库放在Web目录外,如你的Web目录是e:webroot,可以把数据库放到e:data这个文件夹里,在e:webroot里的数据库连接页中修改数据库连接地址为“../data/数据库名”的形式,这样数据库可以正常调用,但是无法下载,
因为它不在Web目录里。
也可以对数据库进行防下载处理,加入一个防下载表
还有就是经常更新程序,也可以使用Access数据库防下载的插件,例如:“数据库防下载.asp”之类的插件。