| 首页 | 技术文章 | 软件下载 | 博客 | 论坛 | 精品教程 | 黑客动画 | 视频资源 | 在线服务 | 黑客游戏 |

您现在的位置： 中国X黑客小组 >> 技术文章 >> 安全防御 >> 专题文章 >> 文章正文 用户登录 新用户注册

[组图]防止ACCESS数据库被下载的方法后续    热 荐  ★★★ 【字体：小 大】
防止ACCESS数据库被下载的方法后续
作者：未知    文章来源：CnXHacker.Net    点击数：    更新时间：2004-10-28
自从发布了防止ACCESS数据库被下载的9种方法后，很多朋友对作者所想到的思路表示称赞，但是也对部分方法表示怀疑． 尤其是第三点，　原文如下： 3.数据库名前加"#"   　　只需要把数据库文件前名加上#、然后修改数据库连接文件（如conn.asp）中的数据库地址。原理是下载的时候只能识别& nbsp;#号前名的部分，对于后面的自动去掉，比如你要下载：http://www.pcdigest.com/date/# 123.mdb(假设存在的话）。无论是IE还是FLASHGET等下到的都是http://www.test.com/dat e/index.htm(index.asp、default.jsp等你在IIS设置的首页文档)    　　另外在数据库文件名中保留一些空格也起到类似作用，由于HTTP协议对地址解析的特殊性，空格会被编码为"%",如http ://www.test.com/date/123  ;456.mdb，下载的时http://www. test.com/date/123 %456.mdb。而我们的目录就根本没有123%456.mdb这个文件，所 以下载也是无效的这样的修改后，即使你暴露了数据库地址，一般情况下别人也是无法下载！   一位叫破宝(percyboy)的朋友在我的blog上留言，　他是这样说的： 上述第三种方法无效： (a)攻击者将 # 换成 %23 就可以下载； (b)空格方案也是如此的无效。 请传播者注意不要继续讹传了！ 另外建议参考我的一篇文章： http://blog.joycode.com/percyboy/articles/7470.aspx 以下是他的文章： ASP.NET 中防止 Access 数据库被下载的几种选择 在 ASP 中防止 Access 数据库被下载的"常用"方法大多是： [点这里] 下载到一个 Access 文件，其中包含一个特殊的表，你把它复制（包括数据）到你要保护的 Access 中； 然后把你的 Access 重命名为 *.asp。 经过这样的步骤，这个 Access 即使放在 Web 目录中也不会被下载。 注意：正如思归(saucer)说过的那样，这并不是最好的解决方案；如果有可能的话，把 Access 文件放在非 Web 目录中或者合理的设置 NTFS/IIS 权限，会更好一些。 但并不是所有情形中都可以这么解决，因为可能有时候你并没有直接操纵服务器的资格，那么也只能这么 BT 地解决了。 虽然在 ASP.NET 中仍然可以采用上面的方法去做（如果你的服务器同时支持ASP 的话），但显然会有更多其它的方案，如下的几种可以供你参考： 将你的 Access 重命名 *.asax：因为 ASP.NET 的处理机制中，默认情况下，对这样的请求是直接拒绝的，并不会有上面思归提到的解析过程耗费资源等问题； 按照这个思路，其实还可以把 Access 重命名为 *.config，*.vb, *.cs 等等。 将你的 Access 放在你的应用程序根下 bin 目录（也就是你放置 DLL 文件的那个目录）中：已经发现，IIS 默认被配置为拒绝直接访问 bin 目录中的文件，用以保护对 DLL 的请求，事实上也同时保护了放在 bin 目录中其他文件。 另外还可以参考下面这个文章： 文件下载的权限控制（asp.net）     选择自 maximon 的 Blog 笔者做一个报表展示的网站，报表使用excel形式存放在服务器，希望登录的人或者有权限的人才能下载excel报表。但是文件下载的路径无法隐藏，所以页面控制根本没用。近日在研究iis的时候，突然就豁然开朗了。 首先编辑或者修改网站的web.config,加入或者修改红色区域             接着编写login.aspx 对于登录成功者加入 FormsAuthentication.SetAuthCookie(uid,false);      FormsAuthentication.RedirectFromLoginPage(uid,false); 打开iis，找到你的网站，点右键，选属性，－》主目录－》配置 然后在"映射"中选添加， 添加如上图。 好了，大功告成，现在再访问主站下的一个xls文档http://localhost/sms/1.xls，看到什么？ 呵呵，没错，需要您登录了。当你输入登录信息并且登录了您才能下载这个文件！ 对，就这么简单，如果加上role，可以进行更复杂的控制。
文章录入：IceRiver    责任编辑：admin
	上一篇文章： 防止ACCESS数据库被下载的9种方法 下一篇文章： DDOS与DDOS追踪的介绍
【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

最新热点		最新推荐		相关文章
				用Dos命令加锁 防止病毒格式 数据库安全 关于Access数据库 谨慎使用电子邮件附件 防止病 MSN Space大赛官方网站入侵经 美耗资500万欲打造间谍版Mys 四成Facebook用户轻易泄露身 Mac OSX－－攻破它像用它那么 六招关闭自动播放防止病毒 FaceBook源代码泄漏 巧用下载利器IDM 防止浏览器

网友评论：（只显示最新5条。评论内容只代表网友观点，与本站立场无关！）

关于我们 - 版权声明 - 帮助(？) - 广告服务 - 联系我们 - 友情链接 - 用户注册 -	Powered by ICE RIVER - STUDIO

» CnXHacker.CoM

© CopyRight 2002-2006, CnXHacker.CoM™, Inc. All Rights Reserved.