收藏本站腾讯微博新浪微博

经典论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

蓝色理想 最新研发动态 网站开通淘帖功能 - 蓝色理想插件 论坛内容导读一页看论坛 - 给官方提建议

论坛活动及任务 地图和邮件任务 请多用悬赏提问 热夏来袭,选一款蓝色理想的个性T恤吧!

手机上论坛,使用APP获得更好体验 急需前端攻城狮,获得内部推荐机会 论坛开通淘帖功能,收藏终于可以分类了!

搜索
查看: 2320|回复: 10

发现了一个很好的东东--WIN2003 SERVER的IIS新安全机制

[复制链接]
发表于 2006-5-21 16:38:00 | 显示全部楼层 |阅读模式
曾经我们做站的时候,经常发现有人通过下载数据库文件来得到管理员的帐号和密码问题。

有时候弄得自己也想不通别人怎么知道我的数据库文件在哪里。

有一次发现,是因为我设置了目录可以浏览……

改回来了,还是没有用,人家也能猜到!

于是,我用了改变数据库文件的名称和路径的方法。

很快,我发现,没有用!还是有人能知道它是在哪里的。

于是,我在前面加了个井号“#”

短时间内,我做到了不被下载,但是没多久,我又发现我错了

有些下载软件直接能下载!

我郁闷了,难道只能装SQL?

于是,我装了SQL

我认为的牺牲是不容易备份

这次,数据库终于没有被下载了

但是数据照样地被别人找到了

为什么?原来有的人能直接看ASP源代码!

我的CONN.ASP就这样直接被看见了

天啊!帐号密码都在啊!

用什么呢?改成系统DSN?

试了试,不好用,又占资源!

换到非WEB路径?

那我不是又要重新写很多代码了啊?

又有文件操作的FSO来做事的,改到外面了就麻烦了,

而且,在外面的时候,服务器那里的备份的时候就更加麻烦!

正当我郁闷至极的时候,我,发现了

真的发现了

我真的发现了!

那就是Windows 2003 Server!!!!

非注册的MAME类型被IIS很坚决地封锁在了Server端!!

哈哈!!

发现过程:
网站备案了,下载了证书了,放到cert下面了
人家提示了,证书不能浏览到!
我找啊找啊,找来找去,在啊!!
我自己试了一下, 郁闷的404!
不对啊,怎么会呢?
初步认为是IIS的问题!
找属性,找到文件头,找到MAME类型
增加了一个.CERT,ok

备份了一个文件,后缀改成了.bak,给朋友下载
朋友说,找不到文件!!
我郁闷了,本来想再去加一个.BAK,但是转念一想
不加了!以后的MDB全改名为BAK
哈哈,真爽!!

于是我把.MDB改成了.Bak

ok!!!

搞定!!!!

我有个论坛的数据库在/database/bbsdata.bak

试试!

哈哈!404!!

Oh Yeah!!!!

原来真正的安全并不是不让人家知道

而是,就算人家知道了也没用!

从这点来看,SQL又不够安全了

只要有帐号密码,数据安全就没得保证!

所以,我宁愿折磨服务器也不用SQL了!

哈哈哈哈哈哈

ACCESS 真TMD好!!

哇哈哈哈哈哈哈哈哈哈哈哈哈~~~~~~~~~

哇哈哈哈哈哈哈哈哈哈哈哈哈~~~~~~~~~

哇哈哈哈哈哈哈哈哈哈哈哈哈~~~~~~~~~

哇哈哈哈哈哈哈哈哈哈哈哈哈~~~~~~~~~

啊!!!

我的牙~~~~
发表于 2006-5-21 20:02:00 | 显示全部楼层
.mdb改成.asp,然后在数据库建一个notdown表,字段包含一个ole对象类型的,然后在这个字段里,插入一个写字板之类的值,内容为
<%
Response.write "<script>alert('下载没门');</script>"
response.end
%>

保证下不了,下载的时候,还可以弹出一个对话框,呵呵
回复 支持 反对

使用道具 举报

发表于 2006-5-21 20:03:00 | 显示全部楼层
如果是sql server数据库,要防止利用sqldmo对象,在线备份数据库,然后下载,解决方案:
设置sqldmo.dll的权限,即可,不要让Iuser_XXX能访问该文件即可
回复 支持 反对

使用道具 举报

发表于 2006-5-21 20:06:00 | 显示全部楼层
或者在iis里加一个映射,让mdb文件随意映射到一个dll(注意,任何dll都可以,就是不能是解析asp的dll),这个也不能下载了,反正方法多的是,只要你肯去试,肯去想,绝对有办法保证mdb数据库的安全
回复 支持 反对

使用道具 举报

发表于 2006-5-21 22:16:00 | 显示全部楼层
以往只知道"#"的作用,今天又学东西了~
回复 支持 反对

使用道具 举报

发表于 2006-5-22 10:50:00 | 显示全部楼层
一句话就够了,干吗这么长篇?
回复 支持 反对

使用道具 举报

发表于 2006-5-22 14:26:00 | 显示全部楼层
原来有的人能直接看ASP源代码!

我的CONN.ASP就这样直接被看见了


谁教教我怎么看源码?
回复 支持 反对

使用道具 举报

发表于 2006-5-22 23:02:00 | 显示全部楼层
换asp.net,编译后,代码都在dll里,看不到,web.config用工具加密,或者自己写个算法加解密,这样可以最大程序的保护源代码
回复 支持 反对

使用道具 举报

发表于 2006-5-23 02:42:00 | 显示全部楼层
俺也正在学习asp.net中!!
回复 支持 反对

使用道具 举报

发表于 2006-5-23 02:54:00 | 显示全部楼层
都2003了
怎么还被看了conn。asp啊
回复 支持 反对

使用道具 举报

发表于 2006-5-23 09:03:00 | 显示全部楼层
其实 .mdb可以直接改成.asp;下载后就成乱码,估计是asp.dll解析后的文件
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|Archiver|手机版|blueidea.com ( 湘ICP备12001430号 )  

GMT+8, 2020-11-30 12:37 , Processed in 0.093514 second(s), 8 queries , Gzip On, Memcache On.

Powered by Discuz! X3.2 Licensed

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表