萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> 防止ACCESS數據庫被下載的9種方法

防止ACCESS數據庫被下載的9種方法


1.發揮你的想象力 修改數據庫文件名
不用說,這是最最偷懶的方法,但是若攻擊者通過第三方途徑獲得了數據庫的路徑),就玩完了。比如說攻擊者本來只能拿到list權 ,結果意外看到了數據庫路徑,就可以冠冕堂皇地把數據庫下載回去研究了。另外,數據文件通常大小都比較大,起再隱蔽的文件名都瞞 不了人。故保密性為最低。


2.數據庫名後綴改為ASA、ASP等

此法須配合一些要進行一些設置,否則就會出現本文開頭的那種情況

(1)二進制字段添加(此招我還沒有煉成-_-+)。

(2)在這個文件中加入<%或%>,IIS就會按ASP語法來解析,然後就會報告500錯誤,自然不能下載了。可是 如果只是簡單的在數據庫的文本或者備注字段加入<%是沒用的,因為ACCESS會對其中的內容進行處理,在數據庫裡他會以 < %的形式存在,無效!正確的方法是將<%存入OLE對象字段裡,這樣我們的目的就能達到了。&nbs p;
作方法:
首先,用notepad新建一個內容為 <% 的 文本文件,隨便起個名字存檔。
  接著,用Access打開您的數據庫文件,新建一個表,隨便起個名字,在表中添加一個OLE對象的字段,然後添加一個記錄, 插入之前建立的文本文件,如果操作正確的話,應該可以看到一個新的名為"數據包"的記錄。即可


3.數據庫名前加"#"
  只需要把數據庫文件前名加上#、然後修改數據庫連接文件(如conn.asp)中的數據庫地址。原理是下載的時候只能識別& nbsp;#號前名的部分,對於後面的自動去掉,比如你要下載:http://www.ylmf.com/date/# 123.mdb(假設存在的話)。無論是IE還是FLASHGET等下到的都是http://www.test.com/dat e/index.htm(index.asp、default.jsp等你在IIS設置的首頁文檔)
  另外在數據庫文件名中保留一些空格也起到類似作用,由於HTTP協議對地址解析的特殊性,空格會被編碼為"%",如http ://www.test.com/date/123 ;456.mdb,下載的時http://www. test.com/date/123 %456.mdb。而我們的目錄就根本沒有123%456.mdb這個文件,所 以下載也是無效的這樣的修改後,即使你暴露了數據庫地址,一般情況下別人也是無法下載!


4.加密數據庫
  首先在選取"工具->安全->加密/解密數據庫,選取數據庫(如:employer.mdb),然後接確定,接 著會出現"數據庫加密後另存為"的窗口,存為:employer1.mdb。接著employer.mdb就會被編碼,然後存為 employer1.mdb..要注意的是,以上的動作並不是對數據庫設置密碼,而只是對數據庫文件加以編碼,目的是為了防止他 人使用別的工具來查看數據庫文件的內容。
接下來我們為數據庫加密,首先以打開經過編碼了的 e mployer1.mdb,在打開時,選擇"獨占"方式。然後選取功能表的"工具->安全->設置數據庫密碼",& nbsp;接著輸入密碼即可。這樣即使他人得到了employer1.mdb文件,沒有密碼他是無法看到 emplo yer1.mdb的。
  加密後要修改數據庫連接頁, 如:
conn.open "driver={microsoft access driver&nb sp;(*.mdb)};uid=admin;pwd=數據庫密碼;dbq=數據庫路徑"
  這樣修改後,數據庫即使被人下載了,別人也無法打開(前提是你的數據庫連接頁中的密碼沒有被洩露)
  但值得注意的是,由於Access數據庫的加密機制比較簡單,即使設置了密碼,解密也很容易。該數據庫系統通過將用戶輸入的 密碼與某一固定密鑰進行"異或"來形成一個加密串,並將其存儲在*.mdb文件從地址"&H42"開始的區域內。所以一 個好的程序員可以輕松制作一個幾十行的小程序就可以輕松地獲得任何Access數據庫的密碼。因此,只要數據庫被下載,其信息安 全依然是個未知數。

copyright © 萬盛學電腦網 all rights reserved