斬?cái)嗌煜蚓W(wǎng)站數(shù)據(jù)庫(kù)的“黑手”

對(duì) 于SQL Server、Oracle等中大型的數(shù)據(jù)庫(kù)來(lái)說(shuō)，Access數(shù)據(jù)庫(kù)具有結(jié)構(gòu)簡(jiǎn)單易用使用等優(yōu)點(diǎn)。但是，黑客一旦下載得手，就可以輕易獲取包含在其中的網(wǎng)站管理員密碼等敏感信息，進(jìn)而登錄到網(wǎng)站管理后臺(tái)，執(zhí)行上傳木馬等操作，導(dǎo)致網(wǎng)站落入黑客之手?？磥?lái)，只有采取各種安全措施，保護(hù)網(wǎng)站數(shù)據(jù)庫(kù)安全，才能讓黑客無(wú)功而返。

構(gòu)造特殊名稱，避免下載數(shù)據(jù)庫(kù)

為了防止黑客隨意下載Access數(shù)據(jù)庫(kù)，最簡(jiǎn)單的方法就是在數(shù)據(jù)庫(kù)名稱前面加上“#”的符號(hào)。但是，如果黑客將其更改為“%23”（例如“%23test.mdb”），就可以輕松下載該文件。對(duì)此，可以取用簡(jiǎn)單的變換方式加以解決，例如，可以在數(shù)據(jù)庫(kù)名稱前面添加“#23%”前綴（例 如“#23%test.mdb”）或者“23%23%”前綴（例如“23%23%test.mdb”），這 樣，當(dāng)在下載數(shù)據(jù)庫(kù)時(shí)，就會(huì)顯 示“Directoty Listing Denied”的錯(cuò)誤提示，導(dǎo)致下載無(wú)法進(jìn)行。

如果將其名稱更改為“23%#test.mdb”或者“##test.mdb”，就會(huì)出現(xiàn)無(wú)法找到該頁(yè)的提示，這同樣會(huì)攔截?cái)?shù)據(jù)庫(kù)下載操作。之所以出現(xiàn)這樣的情況，原因在于當(dāng)訪問(wèn)“#23%test.mdb”、“##test.mdb”等以“#”開(kāi)頭的文件時(shí)，對(duì)于IIS、Apachbe等服務(wù)器來(lái)說(shuō)，當(dāng)瀏覽器向服務(wù)器提交數(shù)據(jù)時(shí)會(huì)自動(dòng)忽略“#”符號(hào)以及其后的所有內(nèi)容，因?yàn)樵L問(wèn)過(guò)程就變成了訪問(wèn)目錄的行為，所以就會(huì)出現(xiàn)目錄訪問(wèn)失敗的情況。實(shí)際上，也可以在直接在數(shù)據(jù)庫(kù)名稱前加上“%”符號(hào)，同樣可以起到放下的作用。

當(dāng)然，為了更好的保護(hù)數(shù)據(jù)庫(kù)文件，可以在其名稱前面添加更多的特殊字符。例如，可將其更改為“##%%23#test#$$%.mdb”等，如此復(fù)雜的名稱格式就可以讓常用的下載工具視其為非法的URL，這樣就可以保護(hù)數(shù)據(jù)庫(kù)文件安全了。當(dāng)然，這也僅僅是從URL編碼的角度看問(wèn)題，如果攻擊者更換一個(gè)角度，從URL加密的角度出發(fā)，就可以避開(kāi)上述限制而下載數(shù)據(jù)庫(kù)，為此，可以在文件名稱中間夾雜空格符號(hào)，則可以有效防御這種下載方式。因?yàn)镠TTP協(xié)議對(duì)地址進(jìn)行解析時(shí)，會(huì)將空格編碼為“%”，這直接導(dǎo)致數(shù)據(jù)庫(kù)下載鏈接出錯(cuò)，可以起到一定的防止下載的作用。

利用特殊文件，防止黑客暴庫(kù)

在Windows中創(chuàng)建文件時(shí)，如果我們?cè)噲D創(chuàng)建一個(gè)沒(méi)有名稱僅有后綴的文件時(shí)（例如“.txt”），系統(tǒng)就會(huì)彈出“必須鍵入文件名”的提示，禁止創(chuàng)建這樣的文件。如果您使用的基于小旋風(fēng)等小型的ASP服務(wù)器的話，可以利用該方法防御數(shù)據(jù)庫(kù)下載操作。例如執(zhí)行“ren#%test.mdb .mdb”命令，就可以將其更改為“.mdb”文件。當(dāng)在瀏覽器中輸入“http”//xxx.xxx.xxx.xxx/data/.mdb”地址，試圖訪問(wèn)該數(shù)據(jù)庫(kù)文件時(shí)，就會(huì)出現(xiàn)404錯(cuò)誤。為了讓網(wǎng)站可以順利訪問(wèn)該數(shù)據(jù)庫(kù)，需要地“conn.asp”等連接文件進(jìn)行修改，將原來(lái)的數(shù)據(jù)庫(kù)名稱更改為“.mdb”，就可以解決問(wèn)題了。

這樣，不管是使用瀏覽器訪問(wèn)，還是使用下載工具，都無(wú)法下載該數(shù)據(jù)庫(kù)。如果網(wǎng)站數(shù)據(jù)庫(kù)文件較多，在同一存儲(chǔ)路徑下存在多個(gè)和Access數(shù)據(jù)庫(kù)，為了避免沖突，可以采取變通的方式解決。例如使用“copy shujuku01.mdb 空格 .mdb”， 將“shujuku01.mdb”更名為“ .mbd”，執(zhí)行“copy shujuku02.mdb 空格空格 .mdb”，將“shujuku01.mdb”更名為“ .mbd”，如此類(lèi)推，將不同的數(shù)據(jù)庫(kù)文件更名為以空格為開(kāi)頭的“.mdb”文件，按照不同的文件來(lái)累加空格的數(shù)量。之后則在“conn.asp”文件中分別更改對(duì)應(yīng)數(shù)據(jù)庫(kù)文件的名稱，這樣就可以化解上述問(wèn)題了。

更改名稱，防范黑客下載數(shù)據(jù)庫(kù)

當(dāng)然，對(duì)于IIS服務(wù)器來(lái)說(shuō)，使用上述方法基本無(wú)效。在IIS中，可以采用更加簡(jiǎn)單的更名方式，來(lái)防御非法下載操作。例如，將“test.mdb”更名為“test.ini”文件。之后對(duì)“conn.asp”等連接文件中的數(shù)據(jù)庫(kù)名稱做同樣的修改，當(dāng)黑客試圖下載這樣的文件時(shí)，就會(huì)出現(xiàn)無(wú)法找到該頁(yè)的提示。因?yàn)闉g覽器和Web服務(wù)器都支持MIME，MIME規(guī)定了某種文件以及其對(duì)應(yīng)的文件類(lèi)型和傳輸及編碼方式。

在Internet信息服務(wù)管理器中選擇本地計(jì)算機(jī)，在其右鍵菜單中點(diǎn)擊“屬性”項(xiàng)，在彈出窗口中點(diǎn)擊“MIME類(lèi)型”按鈕，在打開(kāi)窗口中的IIS之處的文件類(lèi)型，其中就包括“.mdb”，這就是為什么可以下載數(shù)據(jù)庫(kù)文件的原因。對(duì)應(yīng)的，如果瀏覽器請(qǐng)求了一個(gè)服務(wù)器并不知道的MIME文件類(lèi)型。那么瀏覽器就無(wú)法將其傳輸給客戶端，就會(huì)返回404的錯(cuò)誤信息。因此，將“.mdb”的MIME類(lèi)型刪除，就可以防止數(shù)據(jù)庫(kù)被非法下載了。如果您使用的是虛擬空間，就無(wú)權(quán)更改服務(wù)器中的MIME類(lèi)型的話，可以將數(shù)據(jù)庫(kù)更名為任意一個(gè)IIS中沒(méi)有預(yù)設(shè)的MIME類(lèi)型，就可以起到防止下載的作用。

變更存儲(chǔ)路徑隱藏?cái)?shù)據(jù)庫(kù)

為了有效的防止黑客暴庫(kù)，僅僅采用修改數(shù)據(jù)庫(kù)名稱的方式是遠(yuǎn)遠(yuǎn)不夠的，必須采取多種方法才可以保護(hù)數(shù)據(jù)庫(kù)安全。最有效的方法是對(duì)默認(rèn)的數(shù)據(jù)庫(kù)名稱進(jìn)行修改，讓黑客無(wú)法通過(guò)網(wǎng)站模版快速定位數(shù)據(jù)庫(kù)。因?yàn)楹芏嗑W(wǎng)站采用的都是公開(kāi)的整站程序，其數(shù)據(jù)庫(kù)路徑是公開(kāi)的，如果不修改默認(rèn)路徑的話，攻擊者可以毫不費(fèi)力的下載數(shù)據(jù)庫(kù)文件。當(dāng)數(shù)據(jù)庫(kù)路徑被黑客發(fā)現(xiàn)后，為了避免其下載數(shù)據(jù)庫(kù)，可以將數(shù)據(jù)庫(kù)文件存放到Web目錄之外的地方。例如，可以在網(wǎng)站目錄之外建立一個(gè)文件夾，假設(shè)為“f：data”。

之后將原來(lái)的數(shù)據(jù)庫(kù)文件移動(dòng)到該目錄中，再將“conn.asp”等連接文件進(jìn)行修改，其中的數(shù)據(jù)庫(kù)路徑更改為新的數(shù)據(jù)庫(kù)路徑，例如“DataSource ="&Server.mappath("../data/db.mdb")"”等。因?yàn)閿?shù)據(jù)庫(kù)文件存在域網(wǎng)站目錄之外，攻擊者自然無(wú)法下載，但該方法對(duì)使用虛擬空間的網(wǎng)站用戶不適合。為此，可以采取變通的方法來(lái)解決，例如原數(shù)據(jù)庫(kù)文件為“pctest.mdb”，可以將其更名為“pc%23test.mdb”，之后在“conn.asp”連接文件中修改數(shù)據(jù)庫(kù)名稱，這樣，不管使用IE或者下載工具，都無(wú)法下載該數(shù)據(jù)庫(kù)。

還可以在數(shù)據(jù)庫(kù)目錄下創(chuàng)建名為“pc#test.mdb”的虛假數(shù)據(jù)庫(kù)文件，并在其中寫(xiě)入警告信息。當(dāng)攻擊者利用諸如“http：//xxx.xxx.xxx.xxx/shujuku/pc%23test.mdb”之類(lèi)的網(wǎng)址試圖下載“pc%23test.mdb”文件時(shí)，下載的卻是“pc#test.mdb”這個(gè)虛假的文件，顯示的也是該文件中的警告信息。

禁用映射解析，保護(hù)數(shù)據(jù)庫(kù)安全

為抵御黑客暴庫(kù)，可以打開(kāi)IIS服務(wù)管理器，在IIS屬性中的“主目錄”面板中點(diǎn)擊“配置”項(xiàng)，在應(yīng)用程序配置窗口中點(diǎn)擊“添加”，在彈出窗口中點(diǎn)擊“添加”按鈕，在“可執(zhí)行文件”欄中輸入“C：Windowssystem32inetsvrasp.dll”， 在“擴(kuò)展名”欄中輸入“.mdb”，選擇“限制為”項(xiàng)，輸入“禁止”。點(diǎn)擊“確定”保存配置信息。當(dāng)黑客試圖下載數(shù)據(jù)庫(kù)時(shí)，因?yàn)橛成浣馕龅淖饔茫?wù)器會(huì)返回禁止訪問(wèn)的提示。此外，還可采用重定向技術(shù)保護(hù)數(shù)據(jù)庫(kù)安全。例如在IIS管理器中打開(kāi)目標(biāo)網(wǎng)站，選擇其中的數(shù)據(jù)庫(kù)文件，在其右鍵菜單中點(diǎn)擊“屬性”項(xiàng)，在彈出窗口中選擇“重定向到URL”項(xiàng)，在“重定向到”欄中輸入當(dāng)前網(wǎng)站的網(wǎng)址（或任意網(wǎng)址）。這樣當(dāng)別人試圖訪問(wèn)該數(shù)據(jù)庫(kù)時(shí)會(huì)自動(dòng)跳轉(zhuǎn)到重定向的地址中。

讓數(shù)據(jù)庫(kù)避開(kāi)惡意搜索

有經(jīng)驗(yàn)的用戶都知道，在搜索引擎中輸入“關(guān)鍵字server.mapPath(".mdb")”，其中的“關(guān)鍵字”為搜索的目標(biāo)，例如“音樂(lè)”等。執(zhí)行了搜索操作后，可以找到大量相關(guān)的網(wǎng)頁(yè)。在對(duì)應(yīng)的說(shuō)明信息中可以看到和數(shù)據(jù)庫(kù)文件相關(guān)的路徑信息，例 如“dbq="+server.mappath(“../admin/data/news.mdb")”等。這給攻擊者帶來(lái)了很大的便利。只要對(duì)網(wǎng)站鏈接稍加分析，黑客可以幾乎毫不費(fèi)力的得到了對(duì)應(yīng)網(wǎng)站的數(shù)據(jù)庫(kù)下載地址。如果數(shù)據(jù)庫(kù)中的管理賬戶密碼沒(méi)有進(jìn)行復(fù)雜加密的話，黑客攻破該網(wǎng)站是很輕松的事情。

黑客之所以可以利用搜索引擎發(fā)現(xiàn)網(wǎng)站的數(shù)據(jù)庫(kù)文件信息，主要是因?yàn)榫W(wǎng)站開(kāi)發(fā)者安全意識(shí)比較淡漠，數(shù)據(jù)庫(kù)連接語(yǔ)句直接保存在普通的ASP頁(yè)面中。按照ASP網(wǎng)頁(yè)的執(zhí)行規(guī)則，在“<%%>”標(biāo)記中的內(nèi)容將作為ASP的代碼執(zhí)行，代碼并不顯示在網(wǎng)頁(yè)中，但是這些代碼可以通過(guò)網(wǎng)頁(yè)源文件查看到。因此，在開(kāi)發(fā)網(wǎng)站時(shí)，需要采取規(guī)范的方法，將數(shù)據(jù)庫(kù)連接代碼寫(xiě)入“conn.asp”之類(lèi)的連接文件中，然后在需要調(diào)用數(shù)據(jù)的ASP網(wǎng)頁(yè)頂部添加“< !-- #include file="conn.asp">”語(yǔ)句，就可以調(diào)用數(shù)據(jù)庫(kù)了。為搜索到更多的數(shù)據(jù)庫(kù)，很多攻擊者會(huì)使用專用的挖掘工具來(lái)大面積的搜索目標(biāo)網(wǎng)站。這其實(shí)是利用了搜索引擎的收錄技術(shù)，來(lái)搜索目標(biāo)網(wǎng)站根目錄下是否存在名為“robots.txt”的文件，根據(jù)該文件來(lái)確定其對(duì)網(wǎng)站收錄的訪問(wèn)權(quán)限范圍。

例如，打開(kāi)某網(wǎng)站根目錄下的“robots.txt”文件，可以看到其中包含了關(guān)于該網(wǎng)站的敏感路徑信息，包括網(wǎng)站后臺(tái)地址，數(shù)據(jù)庫(kù)路徑以及一些程序的升級(jí)目錄等。為了防止網(wǎng)站數(shù)據(jù)庫(kù)以及其他敏感信息不被搜索引擎收錄，可以為“robots.txt”文件建立安全規(guī)則。例如，將“robots.txt”中的原有內(nèi)容清空，在其中寫(xiě)入“Useragent：*” 和“Allow：/cgibin/*.htm”兩行內(nèi)容，這樣就實(shí)現(xiàn)了只允許訪問(wèn)“cgibin”目錄下的所有“.htm”類(lèi)型文件的連接以及與其相關(guān)的子目錄連接，將數(shù)據(jù)庫(kù)目錄等敏感內(nèi)容隱藏起來(lái)的目的。

修改連接文件，避開(kāi)黑客襲擾

利用特殊字符，對(duì)網(wǎng)站數(shù)據(jù)庫(kù)進(jìn)行探測(cè)，是黑客經(jīng)常使用的招數(shù)。例如，在IE設(shè)置界面中打開(kāi)“高級(jí)”面板，在其中取消“顯示友好的HTTP錯(cuò)誤信息”項(xiàng)的選擇。之后打開(kāi)目標(biāo)網(wǎng)站，假設(shè)其地址為“http：//www.xxx.net/amaztar/list.asp?id=100”。黑客在提交訪問(wèn)地址時(shí)，將鏈接中第二個(gè)“/”進(jìn)行修改，在瀏覽器中可以看到服務(wù)器返回的錯(cuò)誤信息，在其中的“找不到文件”欄中顯示了該網(wǎng)站的真實(shí)數(shù)據(jù)庫(kù)地址。

如果直接訪問(wèn)地址“http：//www.xxx.net/amaztar%5cconn.asp”，即采用特殊字符對(duì)數(shù)據(jù)庫(kù)連接文件進(jìn)行訪問(wèn)，也可能在返回的錯(cuò)誤信息中得到網(wǎng)站數(shù)據(jù)庫(kù)的真實(shí)地址。當(dāng)然，上面的分析只是假設(shè)的網(wǎng)站，但是可以看出，將訪問(wèn)鏈接中的特定“/”進(jìn)行更改，就可以探測(cè)到網(wǎng)站的數(shù)據(jù)庫(kù)文件地址。這主要和IIS的設(shè)置解碼存在關(guān)聯(lián)，因?yàn)闉g覽器對(duì)相對(duì)路徑錯(cuò)誤的解碼，導(dǎo)致出現(xiàn)數(shù)據(jù)庫(kù)文件路徑泄漏的問(wèn)題。

為了避免出現(xiàn)上述漏洞，最簡(jiǎn)單有效的方法對(duì)“conn.asp”連接文件進(jìn)行修改。例如，在其中逐行依次加入“<%”，“Option Explicit”，“Dim” ，“Dim db”，“Dim Connstr”，“Db= "data/數(shù)據(jù)庫(kù)實(shí)際名稱.mdb"”，“ConnStr=”P(pán)rovider= Microsoft.Jet.OLEDB.4.0;Data Source=”&Server.MapPath(db)”，“On Error Resume Next”，“Set conn = Server.CreateObject(“ADODB.Connection”)”，“conn.open ConnStr”，“If Ree Then”，“err.Clear”，“Ser Conn =Nothing”，“Response.Write= Nothing”，“Response.Write "數(shù)據(jù)庫(kù)連接出現(xiàn)異常，請(qǐng)查看提交的數(shù)據(jù)！"”，“Reponse.End”，“End If”，“%>”等語(yǔ)句。這樣，就實(shí)現(xiàn)了數(shù)據(jù)庫(kù)防暴庫(kù)功能。當(dāng)黑客使用上述方法試圖探測(cè)網(wǎng)站的數(shù)據(jù)庫(kù)真實(shí)路徑時(shí)，服務(wù)器就會(huì)返回“"數(shù)據(jù)庫(kù)連接出現(xiàn)異常，請(qǐng)查看提交的數(shù)據(jù)！”的警告信息。