數(shù)據(jù)庫是Web服務(wù)器的命脈，對于Web站點(diǎn)的正常運(yùn)行起著至關(guān)重要的作用。但是，數(shù)據(jù)庫在Web結(jié)合的存在著諸多安全隱患，它往往攻擊者入侵Web的入口。如何來加固Web數(shù)據(jù)庫呢?我們就以當(dāng)前使用比較廣泛的Access和MSSQL數(shù)據(jù)庫為例，說是如何加強(qiáng)Web數(shù)據(jù)庫的安全性。

　　1、Access數(shù)據(jù)庫防下載

　　數(shù)據(jù)庫被下載這對Web來說幾乎是毀滅性的，因?yàn)楣�擊者從中可以獲取包括管理員帳戶及密碼等在內(nèi)的敏感信息，然后實(shí)施進(jìn)一步的攻擊�？杀幌螺d的數(shù)據(jù)庫主要是Access數(shù)據(jù)庫，采用這種數(shù)據(jù)庫的Web站點(diǎn)不在少數(shù)。防止Access數(shù)據(jù)庫下載，可以從以下幾個(gè)方面入手。

　　(1).數(shù)據(jù)庫改名

　　數(shù)據(jù)庫改名包括兩部分，首先將其改成比較生僻的名稱，建議名字足夠長并使用某些特殊字符以防被攻擊者猜中。另外，將mdb后綴改為asp，以防數(shù)據(jù)庫被下載。當(dāng)然數(shù)據(jù)庫改名后，數(shù)據(jù)庫連接配置文件也要進(jìn)行修改。(圖1)

　　(2).改變數(shù)據(jù)庫路徑

　　站點(diǎn)系統(tǒng)都有默認(rèn)的數(shù)據(jù)庫路徑，由于安全意識淡薄，部署Web站點(diǎn)時(shí)有很多人不去修改數(shù)據(jù)庫路徑，因而攻擊者很容易地猜到該站點(diǎn)的數(shù)據(jù)庫路徑。

　　更改數(shù)據(jù)庫路徑，大家可以在站點(diǎn)目錄下創(chuàng)建比較生僻的目錄，然后將數(shù)據(jù)庫文件拷貝到該目錄中。當(dāng)然，更改數(shù)據(jù)庫路徑后，需要修改站點(diǎn)系統(tǒng)的數(shù)據(jù)庫連接文件。一般asp站點(diǎn)系統(tǒng)的數(shù)據(jù)庫連接文件是conn.asp。打開該文件后，然后根據(jù)實(shí)際情況進(jìn)行修改，使得其跟當(dāng)前的數(shù)據(jù)庫路徑相一致。(圖2)

　　(3).設(shè)置好目錄權(quán)限

　　要設(shè)置好數(shù)據(jù)庫目錄的訪問權(quán)限，原則是權(quán)限最小化以防止非正常的訪問。因?yàn)閃eb程序是通過IIS用戶運(yùn)行的，我們只要給IIS用戶讀取和寫入權(quán)限，然后通過“IIS管理器”把這個(gè)目錄的腳本執(zhí)行權(quán)限去掉，防止入侵者在該目錄中通過上傳獲得webshell了。(圖3)

　　(4).添加mdb的擴(kuò)展映射

　　IIS對于不能解析的文件類型就會彈出下載對話框讓用戶下載，我們可以通過在IIS管理器中添加對mdb的擴(kuò)展映射，防止數(shù)據(jù)庫被下載。其設(shè)置方法是：打開IIS管理器定位到相應(yīng)的Web站點(diǎn)，右鍵選擇“屬性”，然后依次點(diǎn)擊“主目錄→配置→映射”，在“應(yīng)用程序擴(kuò)展”里面添加.mdb文件應(yīng)用解析，至于用于解析它的可執(zhí)行文件大家可以自己進(jìn)行選擇，只要讓攻擊者無法訪問數(shù)據(jù)庫文件就可以了。(圖4)

　　(5).數(shù)據(jù)庫改造

　　思路是將數(shù)據(jù)庫后綴名(.mdb)修改為.asp，然后在數(shù)據(jù)庫中加上一個(gè)NotDownLoad的表以防數(shù)據(jù)庫被下載。具體操作方法如下：

　　首先新建一個(gè).asp文件(notdown.asp)，其代碼如下：

　　db="DataShop.asp" '這里改成你的數(shù)據(jù)庫地址，這是相對根目錄的地址

　　set conn=server.createobject("Adodb.Connection")

　　connstr="Provider=Microsoft.Jet.OLEDB.4.0;Data Source="&Server.MapPath(db)

　　conn.open connstr

　　conn.execute("create table notdownload(notdown oleobject)")

　　set rs=server.createobject("adodb.recordset")

　　sql="select * from notdownload"

　　rs.open sql,conn,1,3

　　rs.addnew

　　rs("notdown").appendchunk(chrB(asc("<")) & chrB(asc("%")))

　　rs.update

　　rs.close

　　set rs=nothing

　　conn.close

　　set conn=nothing

　　然后在服務(wù)器端運(yùn)行notdown.asp，這樣在數(shù)據(jù)庫添加了包含notdown字段的notdownload數(shù)據(jù)表，即可防止數(shù)據(jù)庫的下載，因?yàn)閚otdown有一個(gè)值是"< %",asp運(yùn)行是因缺少"% >"關(guān)閉標(biāo)記而拒絕訪問，下載當(dāng)然會失敗。(圖5)

標(biāo)簽： web服務(wù)器 安全 代碼 服務(wù)器 服務(wù)器端 腳本 權(quán)限 數(shù)據(jù)庫

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。