對 于SQL Server、Oracle等中大型的數(shù)據(jù)庫來說，Access數(shù)據(jù)庫具有結(jié)構(gòu)簡單易用使用等優(yōu)點。但是，黑客一旦下載得手，就可以輕易獲取包含在其中的網(wǎng)站管理員密碼等敏感信息，進而登錄到網(wǎng)站管理后臺，執(zhí)行上傳木馬等操作，導(dǎo)致網(wǎng)站落入黑客之手?？磥恚挥胁扇「鞣N安全措施，保護網(wǎng)站數(shù)據(jù)庫安全，才能讓黑客無功而返。

構(gòu)造特殊名稱，避免下載數(shù)據(jù)庫

為了防止黑客隨意下載Access數(shù)據(jù)庫，最簡單的方法就是在數(shù)據(jù)庫名稱前面加上“#”的符號。但是，如果黑客將其更改為“%23”（例如“%23test.mdb”），就可以輕松下載該文件。對此，可以取用簡單的變換方式加以解決，例如，可以在數(shù)據(jù)庫名稱前面添加“#23%”前綴（例 如“#23%test.mdb”）或者“23%23%”前綴（例如“23%23%test.mdb”），這 樣，當在下載數(shù)據(jù)庫時，就會顯 示“Directoty Listing Denied”的錯誤提示，導(dǎo)致下載無法進行。

如果將其名稱更改為“23%#test.mdb”或者“##test.mdb”，就會出現(xiàn)無法找到該頁的提示，這同樣會攔截數(shù)據(jù)庫下載操作。之所以出現(xiàn)這樣的情況，原因在于當訪問“#23%test.mdb”、“##test.mdb”等以“#”開頭的文件時，對于IIS、Apachbe等服務(wù)器來說，當瀏覽器向服務(wù)器提交數(shù)據(jù)時會自動忽略“#”符號以及其后的所有內(nèi)容，因為訪問過程就變成了訪問目錄的行為，所以就會出現(xiàn)目錄訪問失敗的情況。實際上，也可以在直接在數(shù)據(jù)庫名稱前加上“%”符號，同樣可以起到放下的作用。

當然，為了更好的保護數(shù)據(jù)庫文件，可以在其名稱前面添加更多的特殊字符。例如，可將其更改為“##%%23#test#$$%.mdb”等，如此復(fù)雜的名稱格式就可以讓常用的下載工具視其為非法的URL，這樣就可以保護數(shù)據(jù)庫文件安全了。當然，這也僅僅是從URL編碼的角度看問題，如果攻擊者更換一個角度，從URL加密的角度出發(fā)，就可以避開上述限制而下載數(shù)據(jù)庫，為此，可以在文件名稱中間夾雜空格符號，則可以有效防御這種下載方式。因為HTTP協(xié)議對地址進行解析時，會將空格編碼為“%”，這直接導(dǎo)致數(shù)據(jù)庫下載鏈接出錯，可以起到一定的防止下載的作用。

利用特殊文件，防止黑客暴庫

在Windows中創(chuàng)建文件時，如果我們試圖創(chuàng)建一個沒有名稱僅有后綴的文件時（例如“.txt”），系統(tǒng)就會彈出“必須鍵入文件名”的提示，禁止創(chuàng)建這樣的文件。如果您使用的基于小旋風等小型的ASP服務(wù)器的話，可以利用該方法防御數(shù)據(jù)庫下載操作。例如執(zhí)行“ren#%test.mdb .mdb”命令，就可以將其更改為“.mdb”文件。當在瀏覽器中輸入“http”//xxx.xxx.xxx.xxx/data/.mdb”地址，試圖訪問該數(shù)據(jù)庫文件時，就會出現(xiàn)404錯誤。為了讓網(wǎng)站可以順利訪問該數(shù)據(jù)庫，需要地“conn.asp”等連接文件進行修改，將原來的數(shù)據(jù)庫名稱更改為“.mdb”，就可以解決問題了。

這樣，不管是使用瀏覽器訪問，還是使用下載工具，都無法下載該數(shù)據(jù)庫。如果網(wǎng)站數(shù)據(jù)庫文件較多，在同一存儲路徑下存在多個和Access數(shù)據(jù)庫，為了避免沖突，可以采取變通的方式解決。例如使用“copy shujuku01.mdb 空格 .mdb”， 將“shujuku01.mdb”更名為“ .mbd”，執(zhí)行“copy shujuku02.mdb 空格空格 .mdb”，將“shujuku01.mdb”更名為“ .mbd”，如此類推，將不同的數(shù)據(jù)庫文件更名為以空格為開頭的“.mdb”文件，按照不同的文件來累加空格的數(shù)量。之后則在“conn.asp”文件中分別更改對應(yīng)數(shù)據(jù)庫文件的名稱，這樣就可以化解上述問題了。

更改名稱，防范黑客下載數(shù)據(jù)庫

當然，對于IIS服務(wù)器來說，使用上述方法基本無效。在IIS中，可以采用更加簡單的更名方式，來防御非法下載操作。例如，將“test.mdb”更名為“test.ini”文件。之后對“conn.asp”等連接文件中的數(shù)據(jù)庫名稱做同樣的修改，當黑客試圖下載這樣的文件時，就會出現(xiàn)無法找到該頁的提示。因為瀏覽器和Web服務(wù)器都支持MIME，MIME規(guī)定了某種文件以及其對應(yīng)的文件類型和傳輸及編碼方式。

在Internet信息服務(wù)管理器中選擇本地計算機，在其右鍵菜單中點擊“屬性”項，在彈出窗口中點擊“MIME類型”按鈕，在打開窗口中的IIS之處的文件類型，其中就包括“.mdb”，這就是為什么可以下載數(shù)據(jù)庫文件的原因。對應(yīng)的，如果瀏覽器請求了一個服務(wù)器并不知道的MIME文件類型。那么瀏覽器就無法將其傳輸給客戶端，就會返回404的錯誤信息。因此，將“.mdb”的MIME類型刪除，就可以防止數(shù)據(jù)庫被非法下載了。如果您使用的是虛擬空間，就無權(quán)更改服務(wù)器中的MIME類型的話，可以將數(shù)據(jù)庫更名為任意一個IIS中沒有預(yù)設(shè)的MIME類型，就可以起到防止下載的作用。

變更存儲路徑隱藏數(shù)據(jù)庫

為了有效的防止黑客暴庫，僅僅采用修改數(shù)據(jù)庫名稱的方式是遠遠不夠的，必須采取多種方法才可以保護數(shù)據(jù)庫安全。最有效的方法是對默認的數(shù)據(jù)庫名稱進行修改，讓黑客無法通過網(wǎng)站模版快速定位數(shù)據(jù)庫。因為很多網(wǎng)站采用的都是公開的整站程序，其數(shù)據(jù)庫路徑是公開的，如果不修改默認路徑的話，攻擊者可以毫不費力的下載數(shù)據(jù)庫文件。當數(shù)據(jù)庫路徑被黑客發(fā)現(xiàn)后，為了避免其下載數(shù)據(jù)庫，可以將數(shù)據(jù)庫文件存放到Web目錄之外的地方。例如，可以在網(wǎng)站目錄之外建立一個文件夾，假設(shè)為“f：data”。

之后將原來的數(shù)據(jù)庫文件移動到該目錄中，再將“conn.asp”等連接文件進行修改，其中的數(shù)據(jù)庫路徑更改為新的數(shù)據(jù)庫路徑，例如“DataSource ="&Server.mappath("../data/db.mdb")"”等。因為數(shù)據(jù)庫文件存在域網(wǎng)站目錄之外，攻擊者自然無法下載，但該方法對使用虛擬空間的網(wǎng)站用戶不適合。為此，可以采取變通的方法來解決，例如原數(shù)據(jù)庫文件為“pctest.mdb”，可以將其更名為“pc%23test.mdb”，之后在“conn.asp”連接文件中修改數(shù)據(jù)庫名稱，這樣，不管使用IE或者下載工具，都無法下載該數(shù)據(jù)庫。

還可以在數(shù)據(jù)庫目錄下創(chuàng)建名為“pc#test.mdb”的虛假數(shù)據(jù)庫文件，并在其中寫入警告信息。當攻擊者利用諸如“http：//xxx.xxx.xxx.xxx/shujuku/pc%23test.mdb”之類的網(wǎng)址試圖下載“pc%23test.mdb”文件時，下載的卻是“pc#test.mdb”這個虛假的文件，顯示的也是該文件中的警告信息。

禁用映射解析，保護數(shù)據(jù)庫安全

為抵御黑客暴庫，可以打開IIS服務(wù)管理器，在IIS屬性中的“主目錄”面板中點擊“配置”項，在應(yīng)用程序配置窗口中點擊“添加”，在彈出窗口中點擊“添加”按鈕，在“可執(zhí)行文件”欄中輸入“C：Windowssystem32inetsvrasp.dll”， 在“擴展名”欄中輸入“.mdb”，選擇“限制為”項，輸入“禁止”。點擊“確定”保存配置信息。當黑客試圖下載數(shù)據(jù)庫時，因為映射解析的作用，服務(wù)器會返回禁止訪問的提示。此外，還可采用重定向技術(shù)保護數(shù)據(jù)庫安全。例如在IIS管理器中打開目標網(wǎng)站，選擇其中的數(shù)據(jù)庫文件，在其右鍵菜單中點擊“屬性”項，在彈出窗口中選擇“重定向到URL”項，在“重定向到”欄中輸入當前網(wǎng)站的網(wǎng)址（或任意網(wǎng)址）。這樣當別人試圖訪問該數(shù)據(jù)庫時會自動跳轉(zhuǎn)到重定向的地址中。

讓數(shù)據(jù)庫避開惡意搜索

有經(jīng)驗的用戶都知道，在搜索引擎中輸入“關(guān)鍵字server.mapPath(".mdb")”，其中的“關(guān)鍵字”為搜索的目標，例如“音樂”等。執(zhí)行了搜索操作后，可以找到大量相關(guān)的網(wǎng)頁。在對應(yīng)的說明信息中可以看到和數(shù)據(jù)庫文件相關(guān)的路徑信息，例 如“dbq="+server.mappath(“../admin/data/news.mdb")”等。這給攻擊者帶來了很大的便利。只要對網(wǎng)站鏈接稍加分析，黑客可以幾乎毫不費力的得到了對應(yīng)網(wǎng)站的數(shù)據(jù)庫下載地址。如果數(shù)據(jù)庫中的管理賬戶密碼沒有進行復(fù)雜加密的話，黑客攻破該網(wǎng)站是很輕松的事情。

黑客之所以可以利用搜索引擎發(fā)現(xiàn)網(wǎng)站的數(shù)據(jù)庫文件信息，主要是因為網(wǎng)站開發(fā)者安全意識比較淡漠，數(shù)據(jù)庫連接語句直接保存在普通的ASP頁面中。按照ASP網(wǎng)頁的執(zhí)行規(guī)則，在“<%%>”標記中的內(nèi)容將作為ASP的代碼執(zhí)行，代碼并不顯示在網(wǎng)頁中，但是這些代碼可以通過網(wǎng)頁源文件查看到。因此，在開發(fā)網(wǎng)站時，需要采取規(guī)范的方法，將數(shù)據(jù)庫連接代碼寫入“conn.asp”之類的連接文件中，然后在需要調(diào)用數(shù)據(jù)的ASP網(wǎng)頁頂部添加“< !-- #include file="conn.asp">”語句，就可以調(diào)用數(shù)據(jù)庫了。為搜索到更多的數(shù)據(jù)庫，很多攻擊者會使用專用的挖掘工具來大面積的搜索目標網(wǎng)站。這其實是利用了搜索引擎的收錄技術(shù)，來搜索目標網(wǎng)站根目錄下是否存在名為“robots.txt”的文件，根據(jù)該文件來確定其對網(wǎng)站收錄的訪問權(quán)限范圍。

例如，打開某網(wǎng)站根目錄下的“robots.txt”文件，可以看到其中包含了關(guān)于該網(wǎng)站的敏感路徑信息，包括網(wǎng)站后臺地址，數(shù)據(jù)庫路徑以及一些程序的升級目錄等。為了防止網(wǎng)站數(shù)據(jù)庫以及其他敏感信息不被搜索引擎收錄，可以為“robots.txt”文件建立安全規(guī)則。例如，將“robots.txt”中的原有內(nèi)容清空，在其中寫入“Useragent：*” 和“Allow：/cgibin/*.htm”兩行內(nèi)容，這樣就實現(xiàn)了只允許訪問“cgibin”目錄下的所有“.htm”類型文件的連接以及與其相關(guān)的子目錄連接，將數(shù)據(jù)庫目錄等敏感內(nèi)容隱藏起來的目的。

修改連接文件，避開黑客襲擾

利用特殊字符，對網(wǎng)站數(shù)據(jù)庫進行探測，是黑客經(jīng)常使用的招數(shù)。例如，在IE設(shè)置界面中打開“高級”面板，在其中取消“顯示友好的HTTP錯誤信息”項的選擇。之后打開目標網(wǎng)站，假設(shè)其地址為“http：//www.xxx.net/amaztar/list.asp?id=100”。黑客在提交訪問地址時，將鏈接中第二個“/”進行修改，在瀏覽器中可以看到服務(wù)器返回的錯誤信息，在其中的“找不到文件”欄中顯示了該網(wǎng)站的真實數(shù)據(jù)庫地址。

如果直接訪問地址“http：//www.xxx.net/amaztar%5cconn.asp”，即采用特殊字符對數(shù)據(jù)庫連接文件進行訪問，也可能在返回的錯誤信息中得到網(wǎng)站數(shù)據(jù)庫的真實地址。當然，上面的分析只是假設(shè)的網(wǎng)站，但是可以看出，將訪問鏈接中的特定“/”進行更改，就可以探測到網(wǎng)站的數(shù)據(jù)庫文件地址。這主要和IIS的設(shè)置解碼存在關(guān)聯(lián)，因為瀏覽器對相對路徑錯誤的解碼，導(dǎo)致出現(xiàn)數(shù)據(jù)庫文件路徑泄漏的問題。

為了避免出現(xiàn)上述漏洞，最簡單有效的方法對“conn.asp”連接文件進行修改。例如，在其中逐行依次加入“<%”，“Option Explicit”，“Dim” ，“Dim db”，“Dim Connstr”，“Db= "data/數(shù)據(jù)庫實際名稱.mdb"”，“ConnStr=”Provider= Microsoft.Jet.OLEDB.4.0;Data Source=”&Server.MapPath(db)”，“On Error Resume Next”，“Set conn = Server.CreateObject(“ADODB.Connection”)”，“conn.open ConnStr”，“If Ree Then”，“err.Clear”，“Ser Conn =Nothing”，“Response.Write= Nothing”，“Response.Write "數(shù)據(jù)庫連接出現(xiàn)異常，請查看提交的數(shù)據(jù)！"”，“Reponse.End”，“End If”，“%>”等語句。這樣，就實現(xiàn)了數(shù)據(jù)庫防暴庫功能。當黑客使用上述方法試圖探測網(wǎng)站的數(shù)據(jù)庫真實路徑時，服務(wù)器就會返回“"數(shù)據(jù)庫連接出現(xiàn)異常，請查看提交的數(shù)據(jù)！”的警告信息。