1。强制下载名为asp、ASA的数据库文件
为大多数网络管理者节省时间,网站上的文章,论坛和其他程序直接下载其它源程序,然后经过一些修改。现在很多人做的ASP源程序,改变了数据库的后缀由原来的MDB到ASP或ASA。这本来是件好事,但在一个信息膨胀社会,旧的方法可以保持一段时间。ASP或ASA后缀的数据库文件,黑客可以很容易地下载迅雷等下载软件,只要他们知道他们的位置。图1是我从迅雷下载的数据库文件(注意数据库ASP后缀)。
2。致命的符号—
很多站长认为在数据库前#可以防止数据库被下载。是的,我也认为IE无法下载文件(与#,IE会自动忽略了后面的内容#号)。但也萧何、Xiao He也丢了,我们忘记了不仅可以用普通的方法访问和使用IE的编码技术也可以访问。
在伊江,每个字符对应一个字符编码的编码,% 23可以取代#号。这是一个修改后缀加#,我们仍然可以下载数据库文件。例如,# data.mdb供我们下载的文件,我们只要在浏览器中输入% 23data.mdb可以使用IE下载数据库文件,让多少#防御手段用处一般。
三.破解access数据库加密容易
有些网络管理员喜欢加密访问数据库,这样即使黑客获得数据库,它也需要打开密码,但事实恰恰相反。因为访问的加密算法太脆弱,黑客只是想去网上找一个破解ACCESS数据库密码和在几秒钟内得到密码的软件,有很多这样的在线软件,如快速键。
4。瞬间杀死--满仓的技术数据
数据库本身应该属于技术库暴力的脚本漏洞的行列,这是因为它是在数据库下载漏洞起到了举足轻重的作用,如果细心的读者会发现,上面的提示都知道数据库的名字的情况下实施的。但很多时候,我们可能不知道数据库的名字,然后我们会感到很沮丧,觉得无法继续,但数据库技术不仅可以满仓扫我们的挫折,也可以让我们真正把与上述技术。
很多人总是写(asp)当用ASP写的数据连接文件。
......
DB = 数据 / rds_dbd32rfd213fg .mdb
设置conn = server.createobject(数据连接)
connstr =商=微软。飞机。OLEDB数据源。4;=server.mappath(dB)
康涅狄格州开connstr
功能closedatabase
conn.close
设置conn =没有
......
这句话看上去没有什么问题,但是数据库的名字一直很奇怪,如果我们可以猜测,数据库名称几乎为零,没有数据库技术满仓的概率。但就是这样的简单陈述,隐藏无限的信息。可以说,互联网上的大部分程序有缺陷。只要我们更换数据在数据连接文件conn.asp地址栏(在这之前一般)%的5C,我们可以去数据库位置。有没有脑子。
这一切都是本文的全部内容。我希望你能喜欢它。
