Red de conocimiento del abogados - Preguntas y respuestas jurídicas - ¿Cómo descargar una base de datos ASP simple local?

¿Cómo descargar una base de datos ASP simple local?

El asesino número uno de las vulnerabilidades de scripts---ataques de vulnerabilidad de descarga de bases de datos

Como el asesino número uno de las vulnerabilidades de scripts---vulnerabilidades de descarga de bases de datos, ahora es conocido por más y más más gente. En esta era de rápidas actualizaciones de la tecnología de la información, se siguen varias contramedidas después de la aparición de vulnerabilidades, como cambiar el sufijo de la base de datos, cambiar el nombre de la base de datos, etc. Mucha gente piensa que simplemente hacer esto resolverá el problema, pero la realidad a menudo no es lo que tú y yo queremos. Incluso si haces esto, no podrás escapar del destino de ser atacado por los maestros. Por este motivo, es necesario que comprendamos algunas técnicas de ataque para mejorar nuestras habilidades de seguridad.

1. Descarga forzada de archivos de bases de datos con sufijos ASP y ASA

Para ahorrar tiempo, la mayoría de los administradores de red descargan directamente sistemas de artículos, foros y otros programas de otras personas en sus sitios web. El programa fuente se utiliza después de algunas modificaciones. Hoy en día, los programas fuente ASP de muchas personas han cambiado el sufijo de la base de datos del MDB original a ASP o ASA. Originalmente esto era algo bueno, pero en esta sociedad con información extremadamente ampliada, los viejos métodos sólo pueden durar un tiempo limitado. Para los archivos de bases de datos con el sufijo ASP o ASA, los piratas informáticos pueden descargarlos fácilmente utilizando software de descarga como Thunder, siempre que conozcan su ubicación de almacenamiento.

2. Símbolo fatal ---#

Muchos administradores de red piensan que agregar un signo # delante de la base de datos puede evitar que la base de datos se descargue. Sí, también pensé que IE no podía descargar archivos con el signo # (IE ignoraría automáticamente el contenido después del signo #). Pero "el éxito es un fracaso, el fracaso es un fracaso", olvidamos que no solo se puede acceder a las páginas web mediante métodos ordinarios, sino que también se puede acceder mediante la tecnología de codificación de IE.

En IE, cada carácter corresponde a un código y el carácter de código %23 puede reemplazar el signo #. De esta forma aún podemos descargar un archivo de base de datos al que solo se le ha modificado el sufijo y se le ha añadido el signo #. Por ejemplo, #data.mdb es el archivo que queremos descargar. Solo necesitamos ingresar% 23data.mdb en el navegador para descargar el archivo de la base de datos usando IE. De esta manera, el método de defensa # es inútil.

3. Descifrar la base de datos cifrada de Access es fácil

A algunos administradores de red les gusta cifrar la base de datos de Access, pensando que incluso si un pirata informático obtiene la base de datos, seguirá necesitando una contraseña para acceder. ábrelo. Pero ocurre lo contrario, debido a que el algoritmo de cifrado de Access es demasiado frágil, los piratas informáticos pueden obtener fácilmente la contraseña en tan sólo unos segundos simplemente encontrando un software en Internet que pueda descifrar la contraseña de la base de datos de Access. Hay muchos programas de este tipo en línea, como Accesskey.

4. Eliminación instantánea---Tecnología de explosión de bases de datos

La tecnología de explosión de bases de datos en sí debería pertenecer a las filas de vulnerabilidades de script. La razón por la que la menciono aquí es porque está en. La vulnerabilidad de descarga juega un papel decisivo. Si observa con atención, los lectores encontrarán que las técnicas anteriores solo se pueden implementar suponiendo que conozca el nombre de la base de datos. Pero muchas veces es imposible para nosotros saber el nombre de la base de datos. En este momento, podemos sentirnos muy frustrados y sentir que ya no podemos continuar. Sin embargo, la aparición de la tecnología de bases de datos no solo puede eliminar nuestra frustración. También nos permite combinar y utilizar verdaderamente las tecnologías anteriores.

Cuando mucha gente usa ASP para escribir archivos de conexión de datos, siempre escriben (conn.asp) así:

......

db ="data/rds_dbd32rfd213fg .mdb"

Establecer conn = Server.CreateObject("ADODB.Connection")

connstr="Provider=Microsoft.Jet.OLEDB.4.0;Fuente de datos =" & Server. MapPath(db)

conn.Open connstr

función CloseDatabase

Conn.close

Establecer conn = Nada

...

Esta afirmación parece no tener ningún problema, y ​​​​el nombre de la base de datos es muy extraño. Si no existe la tecnología de fuerza bruta de la base de datos, existe la posibilidad de que podamos adivinar. el nombre de una base de datos de este tipo es casi cero. Pero una frase tan corta esconde infinita información. Se puede decir que la mayoría de los programas en Internet tienen esta vulnerabilidad. Solo necesitamos reemplazar / delante del archivo de conexión de datos conn.asp (generalmente este) en la barra de direcciones con %5c para acceder a la ubicación de la base de datos. No necesito decirte qué sucede a continuación, ¿verdad? Mientras todos usen su cerebro, no hay nada que no se pueda lograr

上篇: La abreviatura de diseño asistido por computadora. 下篇: ¿Cómo estás? ¿Qué significa en chino?