曾经案例:黑客暴库的方法有很多,如果站长没有修改默认数据库地址,那黑客就能直接下载到数据库对网站进行控制。当然稍有安全意识的站长都会修改默认数据库地址的,通常是由于程序的漏洞导致数据库被黑客非法下载到。
在暴库的漏洞历史中,要数单引号过滤不严漏洞最为经典,入侵者只要加单引号就能暴库。这个漏洞危害非常大,曾经导致无数网站受害。还有较早版本的《动力文章系统》(一种网站系统)的%5c替换漏洞,也是非常简单,只要加%5c就能测试出漏洞。暴库漏洞出现时都导致无数网站受害。
简单的防范方法:很多人认为在数据库前面加个“#”就能够防止数据库被非法下载,但是经过研究,这是错误的。因为在IE中,每个字符都对应着一个编码,编码符%23就可以替代“#”。这样对于一个只是修改了后缀并加上了“#”的数据库文件我们依然可以下载。Www.ItCOmpUtER.coM.Cn
比如#data.mdb为我们要下载的文件,我们只要在浏览器中输入%23data.mdb就可以利用IE下载该数据库文件,这样一来,“#”防御手段就形同虚设一般,还有一些人把数据库扩展名改成ASP,其实这也是一种致命的错误,黑客下载后把扩展名修改回来就行了。
防范暴库首先必须修改默认地址,对于有自己的服务器的朋友还有一种更为保险的办法,就是将数据库放在Web目录外,如你的Web目录是e:\webroot,可以把数据库放到e:\data这个文件夹里,在e:\webroot里的数据库连接页中修改数据库连接地址为“./data/数据库名”的形式,这样数据库可以正常调用,但是无法下载,因为它不在Web目录里。还有就是经常更新程序,也可以使用Access数据库防下载的插件,例如:“数据库防下载.asp”之类的插件。
如何攻击博客
博客是潮流时尚,很多MM都爱上了博客。有的MM在网上申请,有的自己在网上找博客程序,买空间买域名自己架设。自己架设固然好,但是不知道维护那就很危险的。本期我们来看看丽MM自己架设的博客的管理员账号是如何被盗的,我们的英雄又会如何救美呢?www.sq120.com推荐文章
最近博客流行,男女老少都玩起博客来。丽MM也不例外,作为她的男朋友,我肯定是她博客的忠实FANS。这不,又要去她的博客灌水。一进入博客,杀毒软件便提示有病毒。再一细看,博客日记都被修改了,好家伙,我心爱的丽MM的博客居然这样被糟蹋!不过,我的机会来了。让丽MM脱离"苦海",不是让我的形象一下子就高大起来了吗。这时丽MM也发来信息说博客被入侵了。我马上跑到丽MM家对她的博客进行抢救。
跑到丽MM家,一看博客,都在骂丽MM害人。丽MM急了,命令我在1小时之内搞定,否则让我三天不见她。这不让我难过吗?于是马上将数据备份了,检查博客的漏洞,发现博客公告处出现有跳转字样"iframe",并且多篇博客被修改,使用的都是管理员账号。
非常容易就找到数据库的地址,并进行下载
"你的管理账号被盗了,你原来没修改数据库默认地址。""什么?数据库?怎么修改?我就在网上下载了博客程序,然后用FTP传到服务器就开始使用了。"丽MM回答说。看来她真的没有修改数据库地址,我只好耐心的给他解释说明了。
我的博客你别动
"你的博客是因为数据库默认地址没有修改,导致黑客下载到博客数据库,并通过暴力破解,得到了管理员密码。"我解释给丽MM听。
打开MD5Crack,可以挂字典、多线程破解、自定义字符、存取进度。
现在很多人只知道安装博客程序,却不知道怎么维护博客。所以很容易被黑客所利用。因为现在博客程序很容易下载,黑客只要在网上下个同样的程序就知道默认数据库地址了。
这个时候丽MM还会认为数据库的密码是通过MD5加了密的,入侵者得到了数据库同样得不到我们的管理密码,其实黑客只要通过一些MD5值暴力破解软件就能得到我们的管理密码,类似软件非常多,如MD5CrackSp、MD5Crack等。说着我就给丽MM演示起来(见下图)。
为MM支招
下面我们来谈谈怎么保护自己的博客,防范于未然。首先我们要修改博客默认数据库地址,通常在程序的说明里,都说了修改方法,不同的程序修改方法也略有不同。值得注意的是本文只适用与ASP与Access数据库的程序。
在修改时,首先找到数据库所在目录,然后将数据库名与目录地址一并修改,默认数据库一般在data目录下,接着找到程序的配置文件,不同程序的配置文件名也有不同,可以在程序说明文件里查看。
要破解管理员密码时,只要在数据库中将管理员密码的MD5加密值复制到软件的“破解单个密文”一栏
如丽MM使用的LBS博客程序的配置文件为"_common. asp",用记事本之类的程序找到数据库默认地址修改成我们所改的,然后即可上传到服务器使用,修改的地址要设置得复杂些,不能让入侵者能轻易猜到。
切记密码要多种字符配合使用,因为密码复杂破解的时间与难度也增加了,就算入侵者下载了数据库文件,他们也没那耐心破解密码。
将MD5值复制好后,入侵者会根据搜集的资料来选取数字或者是字母为破解字符。设置好后,点击"开始"软件就开始破解了。其次,多多留意博客程序官方网站,看是否有安全补丁与安全漏洞,因为网站程序漏洞也多种多样,只要我们及时更新程序才能确保安全。
如何提高密码安全性
在我们的计算机系统中,账号和密码可以说是作为很重要的一道安全屏障,但在实际使用电脑的过程中,账号和密码往往也是最脆弱的部分。
在Windows 2000及后续版本的系统中都会自动创建一个名为“Administrator”的系统管理员账号,若不更改该账号名称,就可能导致被他人“暴力破解”账号密码,因此设置一个比较复杂和安全的账号和密码也是必需的。如果设置账号时包含某些非法字符,如“@”,能较大程度地提高账号的安全性。默认情况下,系统会认为“@”是非法字符。那怎样才能使它为我们“服务”呢?
单击“开始→运行”,在运行对话框中键入“gpedit.msc”回车打开组策略窗口,依次双击展开“计算机配置→Windows设置→安全设置→本地策略→安全选项”,在右侧双击“账户:重命名系统管理员账户”,然后在输入框中输入“@Administrator”,单击“确定”按钮。系统就不会再提示账号非法了。现在注销看看,这个“非法”的账号一样可以正常登录。
为更进一步地提高系统安全性,在系统的登录窗口中不应提示上次登录过的账号。运行“regedit”命令打开注册表编辑器,依次展开[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,在右侧窗口中双击“dontdisplaylastusername”,将其值设置为“1”,退出注册表编辑器即可。再设置账号的密码,最好将大小写和特殊字符混合且位数至少应在6位以上,这样就能为系统安全加上又一道墙。
From:http://www.itcomputer.com.cn/Article/Network/201309/518.html