數(shù)據(jù)庫漏洞進(jìn)行攻擊的例子已經(jīng)多如牛毛，數(shù)據(jù)庫漏洞也是由來已久。幾乎每個企業(yè)網(wǎng)絡(luò)管理員都在進(jìn)行著與漏洞之間的博弈較量。在數(shù)據(jù)庫漏洞之中，數(shù)據(jù)庫下載漏洞可以算是數(shù)據(jù)庫漏洞的王者了。數(shù)據(jù)庫下載漏洞即便是通過了一些防范方法也很難逃脫被攻擊的命運，那么我們就有必要了解一些數(shù)據(jù)庫下載漏洞方法，提升自己的安全意識。

1．強(qiáng)制下載后綴名為asp、asa的數(shù)據(jù)庫文件

大多數(shù)的網(wǎng)管為了節(jié)省時間，網(wǎng)站上的文章系統(tǒng)、論壇等程序都是直接下載別人的源程序再經(jīng)過部分修改后使用的。

而現(xiàn)在很多人做的asp源程序都已經(jīng)將數(shù)據(jù)庫的后綴由原先的mdb改為了asp或asa。本來這是好事，但在這個信息極度膨脹的社會，老的方法所能維持的時間畢竟有限。對于asp或asa后綴的數(shù)據(jù)庫文件，黑客只要知道它們的存放位置，就能輕易地用迅雷這樣的下載軟件下載得到。

2．致命符號——＃

很多網(wǎng)管以為在數(shù)據(jù)庫前面加個#號就可以防止數(shù)據(jù)庫被下載。是啊，我當(dāng)時也認(rèn)為ie是無法下載帶有#號的文件的(ie會自動忽略#號后面的內(nèi)容)。但是“成也蕭何，敗也蕭何”，我們忘記了網(wǎng)頁不僅能通過普通的方法訪問，而且用ie的編碼技術(shù)也能訪問到。

在ie中，每個字符都對應(yīng)著一個編碼，編碼符%23就可以替代#號。這樣對于一個只是修改了后綴并加上了#號的數(shù)據(jù)庫文件我們依然可以下載。比如#data.mdb為我們要下載的文件，我們只要在瀏覽器中輸入%23data.mdb就可以利用ie下載該數(shù)據(jù)庫文件。這樣一來，#號防御手段就形同虛設(shè)一般。

3．破解access加密數(shù)據(jù)庫易如反掌

有些網(wǎng)管喜歡對access數(shù)據(jù)庫進(jìn)行加密，以為這樣一來就算黑客得到了數(shù)據(jù)庫也需要密碼才能打開。但事實正好相反，由于access的加密算法太脆弱，所以黑客只要隨便到網(wǎng)上找一個破解access數(shù)據(jù)庫密碼的軟件，不用幾秒鐘就能得到密碼。
 

【編輯推薦】

1. 黑客技術(shù)之木馬隱身術(shù)
2. 強(qiáng)化系統(tǒng)安全從應(yīng)對木馬開始
3. 黑客局限 揭秘網(wǎng)頁木馬四大不足
4. 黑客攻防：網(wǎng)站常見后門方法大總結(jié)
5. 自己動手清除電腦中的木馬程序