频道栏目
首页 > 安全 > 网站安全 > 正文

手动解决开源程序安全隐患

2013-07-31 00:24:22           
收藏   我要投稿
安装网站程序,首先修改默认的数据库文件名或路径,这是网站安全的第一注意事项,那么该如何更改数据库文件名及路径,保证网站程序的正常运行呢?

 

 

    1,修改数据库连接文件

 

    入侵攻击者通过分析“conn.asp”文件,找到默认数据库文件名及路径的。其实,在许多网站程序中,都是通过“conn.asp”往往是约定俗称的网站数据库连接文件。大部分的网站程序,要修改默认数据库文件名及路径,通常都需要修改此文件。

 

    用记录本打开网站程序目录下的“conn.asp”文件,通常会看到类似于: Db="data/dvbbs7.mdb" 这样的代码,此句即是用来定义数据库路径及文件名的代码了。将其中的数据库文件名及路径修改一下,如这里改为:Db="data2/dada2020.asp"。

 

    数据库路径尽量修改得少见一些,而数据库的文件名也要修改得复杂一些,以避免被攻击者猜解。另外,数据库文件名后缀可修改为.asp,这样安全性会高上许多。因为在浏览器中访问.asp的数据库文件时,数据库文件将会被当做为 asp 网页文件进行解析,因此直接显示乱码内容而无法进行下载。

 

    另外,在数据库文件名中,加上一个“#”号,就可以有一定程序上防止数据库被下载。这是因为在网址链接中“#”被当做一个截断符,IE会自动忽略#号后面的内容,因此无法下载或访问到真实的文件名。例如,前面的代码中文件名路径可改为“data2/dada#2020.asp”,在 IE 中访问时,会提示找不到网页。

 

    2,修改数据库路径

 

    修改了数据库连接文件“conn.asp”中的数据库路径后,还需要将原有的数据库文件改名后移动到指定的路径中。

 

    打开网站程序目录,将其下的“data”文件夹,改为指定的路径“data2”,并将默认的数据库文件名“dvbbs7.mdb”改为“data2/dada#2020.asp”即可。

 

    不过需要注意的是,仅做上面的修改是不够的,上面介绍的这两种方法仅能防止数据库的直接下载攻击。攻击者可能还会通过其他方法绕过这些限制,对数据库采取其他方式的攻击

相关TAG标签 隐患 手动 程序
上一篇:如何检查网站是否含有病毒或木马
下一篇:利用XSS跨站盲打,打击三国杀钓鱼网站后台
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站