安全配置IIS防止数据库下载
日期:2006-10-09 荐:
现在很多网站都是因为数据库源地址被黑客通过某些手段得到,导致数据库文件被下载,而被入侵者取得了控制权!偶然间想到了一个安全配置IIS使数据库防下载的办法,经过配置后,就算黑客得到了数据库的位置和数据库的文件名,也没法通过任何软件下载到你的数据库文件,从而使服务器的数据库处于安全地带。是不是很爽?其实很简单,只要你为数据库的文件设置一个重定向的URL就行了。以下介绍的方法是我认为量安全的防数据库下载的方法。 举一个例子来说明吧。假设我现在要搞一个网站,域名为netpk,com,使用asp加access数据库交互式动态主页,数据库文件没有加密,只要黑客下载了数据库就能得到网站admin的控制权,网站首页文件名为而dex.asp。 在没开始之前,我们光对一般网站防数据库的最原始方面进行一下介绍。怎样防止mdb数据库被下载一直是用access的程序员的一大头疾。现在常用约有效方法有如下几种 (1)修改数据库名。这是常用方法,将数据库名改成怪异名字或长名字,以防别人猜测。一旦被人猜到,别人还是能下载数据库文件,但几率不大。如将数据库database.mdb改成k2c7d9s3^&ij3f.mdb等。 (2)修改数据库后缀。一般改成database.asp、databaSe.asa、database.inc、database.Cgi、databaSe、d11等,注意要在IIS中设置这些后缀的文件不能被解析。 (3)将数据库database.mdb改成#database.mdb。这是最简单有效的办法。 分析:假设别人得到你的数据库地址串是: http://www.yourserver.com/yourfolder/#database.mdb,但实际上他得到的是 http://www.yourserver.com/yourfolder/。 因为#在这里起到间断符的作用,地址串遇到#号,自动认为访问地址串结束。注意不要设置目录可访问。用这种方法,不管别人用何种工具都无法下载,如flashget、网络蚂蚁等。 注:只要数据库文件名任何地方含有'#'别人都无法正常下载。同理,空格号也可以起到。#号作用,但必须是文件名中间出现空格。 (4)将数据库连接文件放到其他虚拟目录下。 (5)将Access数据库加密。 以上我们只是列出了常用之法,为了增加保险性,可以几种方法同时使用。 数据库文件的地址一般都在com.asp的文件里,假设我们的数据库名为net.mdb,数据库文件在根目录net的文件夹下,我们只要把com.asp的文件设置下文件重定向URL就行了。我们先设置conn.asp这个文件重定向URL,打开Internet服务管理器,然后选择我们的站点netpk.com,在netpk.com的站点里找到conn.asp文件,点击鼠标右键会出现一个菜单,选择属性选项,会出现一个窗口,如图1所示。然后我们选择"重定向到URL"选项,在重定向到的白色输入框里设置你要重定向到的地址。这里我们输入http://netpk.com,如果别人访问你这个文件,那么他的访问即被转向到了http://netpk.com的首页了,就像我们常使用的转向域名原理一样。 然后我们再设置根目录下net文件夹里的netpk.mdb的文件重定向就行了。步骤和刚才的一样,只是重复设置了一次,很简单吧? 通过上面的安全配置,你的动态网站一样可以正常使用,但是黑客却没法下载你的数据库了,如果黑客知道了你的数据库位置,那么黑客用那些下载工具下载你的数据库文件netpk.mdb时,黑客下载下来的只会是http://netpk.com的首页文件,不能下载数据库文件,因为数据库已经被设置了重定向,所有指向这个数据库的文件地址的连接都会被重定向连接到http://netpk.com的首页文件里。
标签: