欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

作為腳本漏洞的頭號殺手锏－－數據庫下載漏洞，現在已經(jīng)被越來(lái)越多的人所熟知。在這個(gè)信息化技術(shù)更新飛快的時(shí)代，漏洞產(chǎn)生后隨之而來(lái)的就是各種應對的招數，比如改數據庫的后綴、修改數據庫的名字等等。很多人以為只要這么做就可以解決問(wèn)題了，但事實(shí)往往不如你我所愿，即使你這么做了也難逃被高手攻擊的命運。為此我們有必要去了解一些攻擊的手法，來(lái)增強自己的安全技能。1．強制下載后綴名為asp、asa的數據庫文件大多數的網(wǎng)管為了節省時(shí)間，網(wǎng)站上的文章系統、論壇等程序都是直接下載別人的源程序再經(jīng)過(guò)部分修改后使用的。而現在很多人做的asp源程序都已經(jīng)將數據庫的后綴由原先的mdb改為了asp或asa。本來(lái)這是好事，但在這個(gè)信息極度膨脹的社會(huì )，老的方法所能維持的時(shí)間畢竟有限。對于asp或asa后綴的數據庫文件，黑客只要知道它們的存放位置，就能輕易地用迅雷這樣的下載軟件下載得到。2．致命符號——＃很多網(wǎng)管以為在數據庫前面加個(gè)#號就可以防止數據庫被下載。是啊，我當時(shí)也認為IE是無(wú)法下載帶有#號的文件的(ie會(huì )自動(dòng)忽略#號后面的內容)。但是“成也蕭何，敗也蕭何”，我們忘記了網(wǎng)頁(yè)不僅能通過(guò)普通的方法訪(fǎng)問(wèn)，而且用ie的編碼技術(shù)也能訪(fǎng)問(wèn)到。在ie中，每個(gè)字符都對應著(zhù)一個(gè)編碼，編碼符%23就可以替代#號。這樣對于一個(gè)只是修改了后綴并加上了#號的數據庫文件我們依然可以下載。比如#data.mdb為我們要下載的文件，我們只要在瀏覽器中輸入%23data.mdb就可以利用ie下載該數據庫文件。這樣一來(lái)，#號防御手段就形同虛設一般。3．破解access加密數據庫易如反掌有些網(wǎng)管喜歡對access數據庫進(jìn)行加密，以為這樣一來(lái)就算黑客得到了數據庫也需要密碼才能打開(kāi)。但事實(shí)正好相反，由于access的加密算法太脆弱，所以黑客只要隨便到網(wǎng)上找一個(gè)破解access數據庫密碼的軟件，不用幾秒鐘就能得到密碼。4.瞬殺——數據暴庫技術(shù)本來(lái)數據庫暴庫技術(shù)應該是屬于腳本漏洞的行列，之所以拿到這里來(lái)說(shuō)是因為它在數據庫下載漏洞中起到了舉足輕重的作用，如果仔細一點(diǎn)，讀者會(huì )發(fā)現上面的技巧都是假定知道數據庫名的情況下才能實(shí)施的。但很多時(shí)候我們根本不可能知道數據庫的名字，這時(shí)我們可能會(huì )感到很沮喪，覺(jué)得無(wú)法再進(jìn)行下去，但數據庫暴庫技術(shù)的出現不僅可以一掃我們的沮喪情緒，也能讓我們真正地將前面的技術(shù)綜合起來(lái)利用。很多人在用asp寫(xiě)數據連接文件時(shí)，總會(huì )這么寫(xiě)(conn.asp)：db="data/rds_dbd32rfd213fg.mdb"set conn = server.createobject("adodb.connection")connstr="provider=microsoft.jet.oledb.4.0;data source=" & server.masppath(db)conn.open connstrfunction closedatabaseconn.closeset conn = nothing這段語(yǔ)句看上去覺(jué)得并沒(méi)什么問(wèn)題，而且數據庫的名字取得很怪，如果沒(méi)有數據庫暴庫技術(shù)我們能猜到這樣的數據庫名的幾率幾乎為零。但就是這么簡(jiǎn)短的語(yǔ)句卻隱藏著(zhù)無(wú)限的信息?？梢哉f(shuō)網(wǎng)上絕大部分的程序都存在這個(gè)漏洞。我們只要將地址欄上在數據連接文件conn.asp(一般為這個(gè))前的/用%5c替代就可以暴到數據庫的位置，接下來(lái)的事情應該不需要我說(shuō)了吧？大家只要開(kāi)動(dòng)腦筋沒(méi)有什么。