データベースの接尾辞の変更、データベースの名前の変更など、脆弱性に直面する多くのトリックがありますが、これらのメソッドは問題を完全に解決することはできません。インターネットの人気により、データベースのダウンロード脆弱性のスクリプトの脆弱性のナンバーワンのキラー武器にますます多くの人々が精通しています。 ASPデータベースのダウンロード脆弱性の分析について学びましょう。
1。ASPとASAという名前の接尾辞を備えたデータベースファイルをフォースダウンロード
時間を節約するために、ほとんどのネットワーク管理者は他の人のソースプログラムを直接ダウンロードし、部分的な変更後にそれらを使用します。今日、多くの人々がデータベースの接尾辞を元のMDBからASPまたはASAに変更しています。これは良いことでしたが、情報が非常に膨らんでいるこの社会では、古い方法が続くことができる時間は限られています。 ASPまたはASAサフィックスデータベースファイルの場合、ハッカーがストレージの場所を知っている限り、Thunderなどのダウンロードソフトウェアで簡単にダウンロードできます。図1は、Thunderを使用して著者によってダウンロードされたデータベースファイルです(データベースの接尾辞はASPであることに注意してください)。
2。致命的なシンボル - #
多くのネットワーク管理者は、データベースの前に#番号を追加すると、データベースがダウンロードされるのを防ぐことができると考えています。はい、IEは#番号のファイルをダウンロードできないと考えました(つまり、#番号の後にコンテンツを自動的に無視します)。しかし、「成功はXiaoです、失敗はXiaoです」。 Webページには通常の方法でアクセスできるだけでなく、IEエンコーディングテクノロジーを使用してアクセスできることも忘れていました。
IEでは、各文字はエンコードに対応し、エンコード文字%23は#番号を置き換えることができます。このようにして、接尾辞のみを変更し、#番号を追加したデータベースファイルをダウンロードできます。たとえば、#data.mdbはダウンロードするファイルです。 IEを使用してデータベースファイルをダウンロードするには、%23Data.mdbをブラウザに入力するだけです。このようにして、#防御方法は役に立たない。
3.クラックアクセス暗号化されたデータベースは簡単です
一部のネットワーク管理者は、アクセスデータベースを暗号化することを好み、ハッカーがデータベースを取得しても、それを開くにはパスワードが必要になると考えています。しかし、事実は反対です。 Accessの暗号化アルゴリズムは脆弱すぎるため、ハッカーはオンラインでアクセスデータベースパスワードをクラックするソフトウェアを見つける必要があり、数秒以内にパスワードを取得できます。 AccessKeyなど、このようなソフトウェアはオンラインで多くあります。
4。インスタント殺人 - Data Storm Technology
データベース違反テクノロジー自体は、スクリプトの脆弱性のランクの1つである必要があります。私がここに来た理由は、データベースのダウンロード脆弱性において重要な役割を果たしているためです。注意している場合、読者は、データベース名を知っている場合にのみ上記の手法を実装できることに気付くでしょう。しかし、多くの場合、データベースの名前を知ることはできません。この時点で、私たちは非常にイライラしていると感じるかもしれず、続行できません。ただし、データベースRioterテクノロジーの出現は、私たちのフラストレーションを一掃するだけでなく、以前のテクノロジーを真に統合することもできます。
ASPを使用してデータ接続ファイルを作成するとき、多くの人が常にこのように書いています:
... db = "data/rds_dbd32rfd213fg.mdb" set conn = server.createobject( "adodb.connection")connstr = "provider = microsoft.jet.oledb.4.0; data source ="&server.mappath(db)connster conn connconst connconst conn.conn.close set conn = nothing
このステートメントは問題ないようで、データベース名は非常に奇妙です。データベースの暴動テクノロジーがなければ、このようなデータベース名の確率はほぼゼロであると推測できます。しかし、このような短い文は無限の情報を隠しています。インターネット上のほとんどのプログラムにはこの脆弱性があると言えます。データ接続ファイルconn.asp(通常はこれ)の前に、アドレスバーを%5cでデータベースに置き換えることができます。次は何を言う必要はありませんよね?脳を使用する限り、できないことは何もありません。
この記事では、ASPデータベースのダウンロード脆弱性の分析を紹介し、脆弱性はどこにでもあります。したがって、セキュリティスキルを向上させるために、いくつかの攻撃方法を理解する必要があります。