频道栏目
首页 > 安全 > 网络安全 > 正文

数据库插马漏洞及防范对策

2013-09-12 08:23:00      个评论       作者:网络办公室安全部
收藏   我要投稿
        数据库插马漏洞一直是网络安全之盲点,的确,此漏洞难以防范,几乎就是针对将.mdb换成.asp这种防范数据库下载的方式。

        这种招式几乎一击致命,无论你网站防范有多么严密,插马下去,对手看似牢不可破的防线将瞬间崩溃。可见其杀伤力之大。数据库插马这种方式几乎与网络普遍兴起的mdb转asp的数据库防御方式同步。mdb转asp的方式虽然有效,切实解决了数据库被下载的问题,但它又带来了新的问题,那就是asp格式的数据库被插马的风险增加。

      如今的数据库插马都按照以下步骤进行:

  1.踩点,对目标网站进行全方位的扫描,判断该网站有无将数据写入数据库的操作,并且是否为asp格式;
   2.转换,通常是将一句话木马转换为unicode格式;
   3 .插马,将unicode格式的一句话木马想办法插入到数据库当中,通常是利用一些防注入程序自身的漏洞来进行插马;
   4.控制,利用插入的一句话木马控制目标机。


         说到这里,恐怕有人想问个为什么。数据库插马为何会这么厉害,它的原理是什么呢?

       现代网管为防止网站数据库被下载,泄露敏感信息。他们通常都会将原来的mdb数据库格式更改为asp格式,因为mdb不会被浏览器所解析只会被当做一般文件下载,asp虽然也不被浏览器所解析,但是asp是一种服务器端解析的语言,浏览器的地址栏上虽然显示为asp但是此时的asp已被服务器端解析成了html代码,因此不会被下载。那么数据库被改成asp也应该是数据库啊,怎么会变成杀伤力如此巨大的asp马呢?那是因为数据库本身是由unicode码构成的,转换为asp后就按asp去编译执行,但是原本数据库并没有符合asp语法的代码,因此也就无法执行。但是unicode的一句话马插进去后就被asp引擎解析并且执行,成了将整个网站拱手送人的木马。
     对于这种杀伤力极大的数据库插马目前没有一个合适的解决办法,只能采取一些预防性的措施,下面介绍一些:



1.尽量不要有将数据提交给数据库的方式,如果非得有的话,那就将数据中的unicode代码转换为ansi的;

2.保留mdb格式不要再转换为asp格式了,事实证明,这种方式并不可靠。还是变更一下数据库的路径并且改一个数据库的名字吧。
相关TAG标签 漏洞 对策 数据库
上一篇:渗透测试之FTP服务
下一篇:Fast-Track之大规模客户端攻击篇
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站