记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

手动解决开源程序安全隐患

2013-07-31 05:15
安装网站程序,首先修改默认的数据库文件名或路径,这是网站安全的第一注意事项,那么该如何更改数据库文件名及路径,保证网站程序的正常运行呢?
 
 
    1,修改数据库连接文件
 
    入侵攻击者通过分析“conn.asp”文件,找到默认数据库文件名及路径的。其实,在许多网站程序中,都是通过“conn.asp”往往是约定俗称的网站数据库连接文件。大部分的网站程序,要修改默认数据库文件名及路径,通常都需要修改此文件。
 
    用记录本打开网站程序目录下的“conn.asp”文件,通常会看到类似于: Db="data/dvbbs7.mdb" 这样的代码,此句即是用来定义数据库路径及文件名的代码了。将其中的数据库文件名及路径修改一下,如这里改为:Db="data2/dada2020.asp"。
 
    数据库路径尽量修改得少见一些,而数据库的文件名也要修改得复杂一些,以避免被攻击者猜解。另外,数据库文件名后缀可修改为.asp,这样安全性会高上许多。因为在浏览器中访问.asp的数据库文件时,数据库文件将会被当做为 asp 网页文件进行解析,因此直接显示乱码内容而无法进行下载
 
    另外,在数据库文件名中,加上一个“#”号,就可以有一定程序上防止数据库被下载。这是因为在网址链接中“#”被当做一个截断符,IE会自动忽略#号后面的内容,因此无法下载或访问到真实的文件名。例如,前面的代码中文件名路径可改为“data2/dada#2020.asp”,在 IE 中访问时,会提示找不到网页。
 
    2,修改数据库路径
 
    修改了数据库连接文件“conn.asp”中的数据库路径后,还需要将原有的数据库文件改名后移动到指定的路径中。
 
    打开网站程序目录,将其下的“data”文件夹,改为指定的路径“data2”,并将默认的数据库文件名“dvbbs7.mdb”改为“data2/dada#2020.asp”即可。
 
    不过需要注意的是,仅做上面的修改是不够的,上面介绍的这两种方法仅能防止数据库的直接下载攻击。攻击者可能还会通过其他方法绕过这些限制,对数据库采取其他方式的攻击
知识来源: www.2cto.com/Article/201307/232083.html

阅读:90537 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“手动解决开源程序安全隐患”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云