Windows system >> Windowsの知識 >  >> コンピュータソフトウェアのチュートリアル >> サーバー技術 >> サーバーについて >> ウェブサイトのデータベースへの侵入を防ぐ方法

ウェブサイトのデータベースへの侵入を防ぐ方法

  

Sohu、163、Yahooなどは、多くのネットユーザーによって頻繁に利用されています。多くのハッカーは、検索エンジンを使用してWebサイトのデータベースを簡単に取得し、それによってWebサイトの管理アカウントとパスワードを取得し、Webサイト全体の管理権限を制御することができます。その結果、データベースに保存されている管理者だけが閲覧できる機密ファイルが漏洩します。

実際には、検索エンジンを介してWebサイトに侵入するプロセスは非常に簡単です、侵入の方法を理解して、あなたは問題を解決する方法を知ることができます。それでは、予防の具体的な方法は何ですか?

まず最初に、侵入者の視点から、コードを分析します。

<%connstr = "DBQ =" + server.mappath( "data /data.mdb")+ "; DefaultDir =; DRIVER = {Microsoft Accessドライバ(* .mdb)};”

set conn = server.createobject(“ ADODB.CONNECTION”)

conn.open connstr%〉

上記はASP呼び出しデータベースコードで、「+ server.mappath( "data /data.mdb")+」はデータベースの場所を設定する役割を果たします。このWebサイトのデータベースがdadaディレクトリのdata.mdbファイルにあることを確認するのは難しくありません。

大規模Webサイト用の多くの検索エンジンでは、この検索エンジンに登録されていないWebページを検索できる強力な機能があります。この機能を使って、 "server.mappath"フィールドを探しましょう。結果は次のとおりです。

[無題の文書]

...... = "+ server.mappath(" ../up /mucal /calp.mdb ")+"; DefaultDir =; DRIVER = {Microsoft Access Driver(* .mdb)};”

set conn = ......

- (URL:略)

このようにして、ユーザーは次のようになります。データベースの位置情報を含む多くの検索結果ですが、結果に多少の湿気があり、範囲が広すぎますユーザーが特定のWebサイトのコードを取得するだけの場合はどうでしょうか?実際、これも非常に単純です。たとえば、ユーザーが検索エンジンで「コンピューターの世界」と入力している限り、ユーザーはコンピューターの世界のWebサイトでネットワークセキュリティに関するすべてのWebページを検索する必要があります。ユーザーがあるプログラムのデータベースを取得したい場合、例えばプログラムの名前が "Mavericks"の場合、ユーザーは検索エンジンで検索します。 "異端者と河川+サーバー.mappath "は以下の結果を得ることができます。

[小牛江湖]

...... =" + server.mappath( "../xajh /data /mycalf.mdb")+; DefaultDir =; DRIVER = {Microsoft Access Driver(* .mdb)};”

set conn = ......

- (URL:www.mycalf.com/xajh/index.asp

この時点で、このプログラムのデータベースの場所は明確です:/xajh/data/mycalf.mdbその後、ユーザーはデータベースをダウンロードし、対応するデータベースソフトウェアでそれを開いてコンテンツを取得します。この脆弱性を利用すると、mssqlサーバーのパスワードを取得し、他のサーバーをさらに管理することができます。

世界中に槍があります。この問題を解決する最も効果的な方法の1つは、このステートメントを非表示にし、他のファイルを呼び出してデータベースへの呼び出しを実装する方法です。

最初にコンテンツを作成する必要があります。 ( "data /data.mdb")+ "; DefaultDir =; DRIVER = {Microsoft Access Driver(* .mdb) "

set conn = server.createobject(" ADODB.CONNECTION ")

conn.open connstr%> ASPファイル。たとえば、このファイルにdbconn.aspという名前を付けます。データベースを呼び出す必要があるASPファイルに! - #include file =“ dbconn.asp” - >を追加すれば、データベース呼び出しを実装できます。このようにして、発呼セグメントの隠蔽が実現され、検索エンジンを使用して他者によるウェブサイトデータベースを取得するという問題が解決される。zh-CN"],null,[1],zh-TW"]]]

サーバーについて
Windowsの知識
Windowsドメイン

の時刻同期ソリューションは、Windows 2003のActive Directoryアーキテクチャのドメインです。クライアントがドメインに参加したとき。その場合、ドメインコントローラはタイムマスター
独自のストレージサーバーを組み立てることを教える

ストレージサーバーは、日常業務、生産記録、ビデオ監視、裁判所の記録、電子メールのバックアップ、エンタープライズデータベースのバックアップなど、さまざまな業界で幅広く使用されています。 IT業界ではサー
IIS 301はwww

の始めにドメイン名にリダイレクトしますブラウザにsina.com.cn(Sina homepage)を入力したときに、一般的に理解されているように、リソースの恒久的なリダイレクトについて説明します。

ネットワーク管理者セキュリティトレーニングキャンプ--- Windows

のブラックボックスを保護するホームは「ブラックボックス」の見知らぬ人ではなく、フライトのすべてのパラメータを忠実に記録し、事故の際には「ブラックボックス」を表示できます。データで、失敗の原因を見つけま
Windows 2003 Campus Webサーバーに関するよくある質問

現在、WebサーバーとしてWindows 2003を使用している学校はますます増えています。信頼性の高いWindows 2003サーバーでは、予期しない多くの問題が発生する可能性があります。過去2年間
IISサーバーは各サイトに個別のユーザー許可を設定します

。最初にこれが事実である理由を説明してください。私たちのサイトの1つに問題がある場合でも、主にサーバーのセキュリティのため。他のサイトの通常の運用には影響しません。言い換えれば。この1つのディレクトリ
  • DNSサーバー
  • FTPサーバー
  • Webサーバー
  • プロキシサーバー
  • メールサーバー
  • サーバー合成
  • サーバーについて

    • Windows 8はUディスクを起動する3つの方法を設定します

    Windows 8システムバックアップチュートリアル

    Win 10 iconの抽出方法

    緊急修復ディスクを使用してWindows 98/2000デュアルブートを修復する

    WinXPシステムのMicrosoft Device Health Assistantを閉じるには?

    Win8 MetroのバージョンFirefox

    Windows10ブラウザは淘宝網アリに関連付けることはできませんが、ブラウザをデフォルトのブラウザウィンドウを開くには、デスクトップのアイコンをクリックすると、解決策

    本物のフォトギャラリーを選ぶための最も重要なことは何ですか?

    Win8.1システムを使用してすべてのファイルがスタート画面

  • Windows XPシステムチュートリアル
  • Windows 7システムチュートリアル
  • Windows 8システムチュートリアル
  • Windows 10システムチュートリアル
  • Windows 2003システムチュートリアル
  • Windows 2008システムチュートリアル
  • Windows Vistaシステムチュートリアル
  • Windowsチュートリアル合成
  • Windows Serverシステムのチュートリアル
  • Linuxシステムチュートリアル
  • コンピュータソフトウェアのチュートリアル
  • Windows NTチュートリアル
    • Copyright © Windowsの知識 All Rights Reserved