分析ASP数据库下载漏洞

发布时间：2023-10-06 11:15:03 所属栏目：Asp教程来源：

导读：作为网络游戏脚本传播的漏洞的头号杀手锏数据库以及其他的下载工具的漏洞，安全系统现在已经被越来越多的人所熟知。在这个信息化技术更新飞快的时代，漏洞产生后随之而来的就是各种应对的招数，比如改数据库的后缀、

作为网络游戏脚本传播的漏洞的头号杀手锏数据库以及其他的下载工具的漏洞，安全系统现在已经被越来越多的人所熟知。在这个信息化技术更新飞快的时代，漏洞产生后随之而来的就是各种应对的招数，比如改数据库的后缀、修改数据库的名字等等。很多人以为只要这么做就可以解决问题了，但事实往往不如你我所愿，即使你这么做了也难逃被高手攻击的命运。为此我们有必要去了解一些攻击的手法，来增强自己的安全技能。

1．强制下载后缀名为ASP、ASA的数据库文件

大多数的网管为了节省时间，网站上的文章系统、论坛等程序都是直接下载别人的源程序，再经过部分修改后使用的。而现在很多人做的ASP源程序都已经将数据库的后缀由原先的MDB改为了ASP或ASA。本来这是好事，但在这个信息极度膨胀的社会，老的方法所能维持的时间毕竟有限。对于ASP或ASA后缀的数据库文件，黑客只要知道它们的存放位置，就能轻易地用迅雷这样的下载软件下载得到。

2．致命符号——＃

很多网友以为在数据库前面加个#号就可以防止数据库被下载。是啊，我当时也认为IE是无法下载带有#号的文件的。但是“成也萧何，败也萧何”，我们忘记了网页不仅能通过普通的方法访问，而且用IE的编码技术也能访问到。

在IE中，每个字符都对应着一个编码，编码符%23就可以替代#号。这样对于一个只是修改了后缀并加上了#号的数据库文件我们依然可以下载。比如#data.mdb为我们要下载的文件，我们只要在浏览器中输入%23data.mdb就可以利用IE下载该数据库文件，这样一来，#号防御手段就形同虚设一般。

3.瞬杀——数据爆库技术

本身数据库暴库技术应该是属于脚本漏洞的行列，之所以拿到这里来说是因为它在数据库下载漏洞中起到了举足轻重的作用，如果仔细一点，读者会发现上面的技巧都是假定知道数据库名的情况下才能实施的。但很多时候我们根本不可能知道数据库的名字，当这种情况发生时，我们会受到挫败并感到了达不了的状态，但是数据库崩溃解决方案的引入不仅仅能排除这种负面情感的影响，也能够帮助我们将前面提到的各种方法整合到一起使用。

很多人在用ASP写数据连接文件时，总会这么写(conn.asp)：

…… db="data/rds_dbd32rfd213fg.mdb" Set conn = Server.CreateObject("ADODB.Connection") conns

（编辑：汽车网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!