數(shù)據(jù)庫(kù)漏洞進(jìn)行攻擊的例子已經(jīng)多如牛毛，數(shù)據(jù)庫(kù)漏洞也是由來(lái)已久。幾乎每個(gè)企業(yè)網(wǎng)絡(luò)管理員都在進(jìn)行著與漏洞之間的博弈較量。在數(shù)據(jù)庫(kù)漏洞之中，數(shù)據(jù)庫(kù)下載漏洞可以算是數(shù)據(jù)庫(kù)漏洞的王者了。數(shù)據(jù)庫(kù)下載漏洞即便是通過(guò)了一些防范方法也很難逃脫被攻擊的命運(yùn)，那么我們就有必要了解一些數(shù)據(jù)庫(kù)下載漏洞方法，提升自己的安全意識(shí)。

1．強(qiáng)制下載后綴名為asp、asa的數(shù)據(jù)庫(kù)文件

大多數(shù)的網(wǎng)管為了節(jié)省時(shí)間，網(wǎng)站上的文章系統(tǒng)、論壇等程序都是直接下載別人的源程序再經(jīng)過(guò)部分修改后使用的。

而現(xiàn)在很多人做的asp源程序都已經(jīng)將數(shù)據(jù)庫(kù)的后綴由原先的mdb改為了asp或asa。本來(lái)這是好事，但在這個(gè)信息極度膨脹的社會(huì)，老的方法所能維持的時(shí)間畢竟有限。對(duì)于asp或asa后綴的數(shù)據(jù)庫(kù)文件，黑客只要知道它們的存放位置，就能輕易地用迅雷這樣的下載軟件下載得到。

2．致命符號(hào)——＃

很多網(wǎng)管以為在數(shù)據(jù)庫(kù)前面加個(gè)#號(hào)就可以防止數(shù)據(jù)庫(kù)被下載。是啊，我當(dāng)時(shí)也認(rèn)為ie是無(wú)法下載帶有#號(hào)的文件的(ie會(huì)自動(dòng)忽略#號(hào)后面的內(nèi)容)。但是“成也蕭何，敗也蕭何”，我們忘記了網(wǎng)頁(yè)不僅能通過(guò)普通的方法訪問(wèn)，而且用ie的編碼技術(shù)也能訪問(wèn)到。

在ie中，每個(gè)字符都對(duì)應(yīng)著一個(gè)編碼，編碼符%23就可以替代#號(hào)。這樣對(duì)于一個(gè)只是修改了后綴并加上了#號(hào)的數(shù)據(jù)庫(kù)文件我們依然可以下載。比如#data.mdb為我們要下載的文件，我們只要在瀏覽器中輸入%23data.mdb就可以利用ie下載該數(shù)據(jù)庫(kù)文件。這樣一來(lái)，#號(hào)防御手段就形同虛設(shè)一般。

3．破解access加密數(shù)據(jù)庫(kù)易如反掌

有些網(wǎng)管喜歡對(duì)access數(shù)據(jù)庫(kù)進(jìn)行加密，以為這樣一來(lái)就算黑客得到了數(shù)據(jù)庫(kù)也需要密碼才能打開。但事實(shí)正好相反，由于access的加密算法太脆弱，所以黑客只要隨便到網(wǎng)上找一個(gè)破解access數(shù)據(jù)庫(kù)密碼的軟件，不用幾秒鐘就能得到密碼。
 

【編輯推薦】

1. 黑客技術(shù)之木馬隱身術(shù)
2. 強(qiáng)化系統(tǒng)安全從應(yīng)對(duì)木馬開始
3. 黑客局限 揭秘網(wǎng)頁(yè)木馬四大不足
4. 黑客攻防：網(wǎng)站常見后門方法大總結(jié)
5. 自己動(dòng)手清除電腦中的木馬程序