手动解决开源程序安全隐患
发布时间:2013-08-01 23:19:35作者:知识屋
安装网站程序,首先修改默认的数据库文件名或路径,这是网站安全的第一注意事项,那么该如何更改数据库文件名及路径,保证网站程序的正常运行呢?
1,修改数据库连接文件
入侵攻击者通过分析“conn.asp”文件,找到默认数据库文件名及路径的。其实,在许多网站程序中,都是通过“conn.asp”往往是约定俗称的网站数据库连接文件。大部分的网站程序,要修改默认数据库文件名及路径,通常都需要修改此文件。
用记录本打开网站程序目录下的“conn.asp”文件,通常会看到类似于: Db="data/dvbbs7.mdb" 这样的代码,此句即是用来定义数据库路径及文件名的代码了。将其中的数据库文件名及路径修改一下,如这里改为:Db="data2/dada2020.asp"。
数据库路径尽量修改得少见一些,而数据库的文件名也要修改得复杂一些,以避免被攻击者猜解。另外,数据库文件名后缀可修改为.asp,这样安全性会高上许多。因为在浏览器中访问.asp的数据库文件时,数据库文件将会被当做为 asp 网页文件进行解析,因此直接显示乱码内容而无法进行下载。
另外,在数据库文件名中,加上一个“#”号,就可以有一定程序上防止数据库被下载。这是因为在网址链接中“#”被当做一个截断符,IE会自动忽略#号后面的内容,因此无法下载或访问到真实的文件名。例如,前面的代码中文件名路径可改为“data2/dada#2020.asp”,在 IE 中访问时,会提示找不到网页。
2,修改数据库路径
修改了数据库连接文件“conn.asp”中的数据库路径后,还需要将原有的数据库文件改名后移动到指定的路径中。
打开网站程序目录,将其下的“data”文件夹,改为指定的路径“data2”,并将默认的数据库文件名“dvbbs7.mdb”改为“data2/dada#2020.asp”即可。
不过需要注意的是,仅做上面的修改是不够的,上面介绍的这两种方法仅能防止数据库的直接下载攻击。攻击者可能还会通过其他方法绕过这些限制,对数据库采取其他方式的攻击
1,修改数据库连接文件
入侵攻击者通过分析“conn.asp”文件,找到默认数据库文件名及路径的。其实,在许多网站程序中,都是通过“conn.asp”往往是约定俗称的网站数据库连接文件。大部分的网站程序,要修改默认数据库文件名及路径,通常都需要修改此文件。
用记录本打开网站程序目录下的“conn.asp”文件,通常会看到类似于: Db="data/dvbbs7.mdb" 这样的代码,此句即是用来定义数据库路径及文件名的代码了。将其中的数据库文件名及路径修改一下,如这里改为:Db="data2/dada2020.asp"。
数据库路径尽量修改得少见一些,而数据库的文件名也要修改得复杂一些,以避免被攻击者猜解。另外,数据库文件名后缀可修改为.asp,这样安全性会高上许多。因为在浏览器中访问.asp的数据库文件时,数据库文件将会被当做为 asp 网页文件进行解析,因此直接显示乱码内容而无法进行下载。
另外,在数据库文件名中,加上一个“#”号,就可以有一定程序上防止数据库被下载。这是因为在网址链接中“#”被当做一个截断符,IE会自动忽略#号后面的内容,因此无法下载或访问到真实的文件名。例如,前面的代码中文件名路径可改为“data2/dada#2020.asp”,在 IE 中访问时,会提示找不到网页。
2,修改数据库路径
修改了数据库连接文件“conn.asp”中的数据库路径后,还需要将原有的数据库文件改名后移动到指定的路径中。
打开网站程序目录,将其下的“data”文件夹,改为指定的路径“data2”,并将默认的数据库文件名“dvbbs7.mdb”改为“data2/dada#2020.asp”即可。
不过需要注意的是,仅做上面的修改是不够的,上面介绍的这两种方法仅能防止数据库的直接下载攻击。攻击者可能还会通过其他方法绕过这些限制,对数据库采取其他方式的攻击
(免责声明:文章内容如涉及作品内容、版权和其它问题,请及时与我们联系,我们将在第一时间删除内容,文章内容仅供参考)
相关知识
软件推荐
更多 >
-
1菜鸟简单抓肉鸡(如何抓肉鸡)
2011-06-17
-
2
电脑开机时出现lass.exe进程是病毒吗?
-
3
自拍须谨慎!教你如何通过照片定位查看拍摄地点
-
4
电脑病毒最基础知识
-
5
黑客学员必须了解的C语言技术
-
6
精典详细内网渗透专题文章
-
7
教你破解Tp-Link的无线路由密码
-
8
解决SecureCRT中文显示乱码
-
9
QQ电脑管家和360哪个好?横评实测对比
-
10
攻防实战:无线网络路由入侵过程
