100度沸點♪動感地帶 - Powered by Discuz! Board

標題: 如何暴庫 [打印本頁]

作者: Yvonne3726 時間: 2010-2-4 21:53 標題: 如何暴庫

　暴庫，就是通過一些技術手段或者程式漏洞得到資料庫的地址，並將數據非法下載到本地。駭客非常樂意於這種工作，為什麼呢？因為駭客在得到網站資料庫後，就能得到網站管理帳號，對網站進行破壞與管理，駭客也能通過資料庫得到網站用戶的隱私資訊，甚至得到伺服器的最高許可權。www.sq120.com推薦文章

曾經案例：駭客暴庫的方法有很多，如果站長沒有修改默認資料庫地址，那駭客就能直接下載到資料庫對網站進行控制。當然稍有安全意識的站長都會修改默認資料庫地址的，通常是由於程式的漏洞導致資料庫被駭客非法下載到。
　　在暴庫的漏洞歷史中，要數單引號過濾不嚴漏洞最為經典，入侵者只要加單引號就能暴庫。這個漏洞危害非常大，曾經導致無數網站受害。還有較早版本的《動力文章系統》（一種網站系統）的%5c替換漏洞，也是非常簡單，只要加%5c就能測試出漏洞。暴庫漏洞出現時都導致無數網站受害。

簡單的防範方法：很多人認為在資料庫前面加個“#”就能夠防止資料庫被非法下載，但是經過研究，這是錯誤的。因為在IE中，每個字元都對應著一個編碼，編碼符%23就可以替代“#”。這樣對於一個只是修改了尾碼並加上了“#”的資料庫檔我們依然可以下載。
　　比如#data.mdb為我們要下載的檔，我們只要在流覽器中輸入%23data.mdb就可以利用IE下載該資料庫檔，這樣一來，“#”防禦手段就形同虛設一般，還有一些人把資料庫擴展名改成ASP，其實這也是一種致命的錯誤，駭客下載後把擴展名修改回來就行了。
　　防範暴庫首先必須修改默認地址，對於有自己的伺服器的朋友還有一種更為保險的辦法，就是將資料庫放在Web目錄外，如你的Web目錄是e:webroot，可以把資料庫放到e:data這個檔夾裏，在e:webroot裏的資料庫連接頁中修改資料庫連接地址為“./data/資料庫名”的形式，這樣資料庫可以正常調用，但是無法下載，因為它不在Web目錄裏。還有就是經常更新程式，也可以使用Access資料庫防下載的插件，例如：“資料庫防下載.asp”之類的插件。

歡迎光臨 100度沸點♪動感地帶 (http://chihhao.info/)