今天凌晨和xuanliang讨论的一个问题

| |
[多云 2004/06/13 02:21 | by 冰血封情 ]
问题是关于
很多站点将access数据库修改成.asp的扩展名 但是问题是有些仍然可以使用flashget一类的工具下载 而有些就不能被盗下

昨天受到一篇非安全文章的小点播 突然想到一点苗头 然后online和xuanliang讨论了一下 现在把找到的这个方向钻研一下
可能是ODBC数据源的问题 原文提级到这个问题的只有一句话
引用
如果该网站没有使用ODBC数据源 我们就可以用flashget的软件下载网站的数据库文件......

无论如何感谢原文章作者benjac提供方向 下面看看我找到的一些odbc数据源的相关讨论
引用
使用ODBC数据源
在ASP程序设计中 如果有条件 应尽量使用ODBC数据源 不要把数据库名写在程序中 否则 数据库名将随ASP源代码的失密而一同失密 例如
DBPath = Server.MapPath("./akkt/kj61/acd/av5/faq9jl.mdb")
conn.open "driver={Microsoft Access Driver (*.mdb)};dbq="& DBPath

可见 即使数据库名字起得再怪异 隐藏的目录再深 ASP源代码失密后 也很容易被下载下来
如果使用ODBC数据源 就不会存在这样的问题了
conn.open "ODBC-DSN名"

至少从上面的情况看来 odbc只能防止在源文件中找到数据库的绝对地址根本和.asp和.mdb无关

只能求教高手了 现在来看看高手的回答吧

(2004-06-13 14:02:07)   冰血封情
问题是这样的:
在数据库被更名成asp扩展名后,有些站点仍然可以被用flashget把更名成.asp后的数据库盗下。
但是有些站点却不能。
我想知道其中有什么原因么?
望赐教
(2004-06-13 14:06:24)   冰血封情
我在一篇文章的结尾
看到作者有这么说
如果该网站没有使用ODBC数据源 我们就可以用flashget的软件下载网站的数据库文件
不知道是否有关系
(2004-06-13 14:33:28)   冰狐浪子
主要是因为改为asp后本来就不能防止下载
因为如果数据库里没有错误的asp代码
服务器就会返回完整的数据库
(2004-06-13 14:09:55)   冰血封情
也就是说和odbc数据源没什么关系了?
(2004-06-13 14:39:54)   冰狐浪子
odbc数据源防止下载是把数据库放到web目录以外的地方
这样就根本没有url来访问数据库
所以也就不能被下载
(2004-06-13 14:16:57)   冰血封情
非常感谢
这是我要的答案 太感谢了

现在我们可以清晰的知道下载不了的一定是使用了某种方法 好现在来说凌晨的时候xuanliang找到的一篇技术文章的说法 这里冰血封情详细给出制作步骤

先看这一段引用高手的文字 信息来源 网人帝国
引用
开门见山。
我们的目的:防止网站的ACCESS数据库文件被下载。
现行的办法:将数据库文件的扩展名改为.asp
缺陷:事实上即使你将扩展名改为.asp,数据库仍然可以被下载,因为这个文件里不含<%或%>等标签,所以IIS不对这个文件作任何处理,下载的数据库和原数据库完全一样!
解决方案:思路很简单,在这个文件中加入<%或%>,IIS就会按ASP语法来解析,然后就会报告500错误,自然不能下载了。
可是如果只是简单的在数据库的文本或者备注字段加入<%是没用的,因为ACCESS会对其中的内容进行处理,在数据库里他会以< %的形式存在,无效!
正确的方法是将<%存入OLE对象字段里,这样我们的目的就能达到了。
至于怎么往里加我就不废话了。如果你不会或者嫌麻烦,我已经做好了一个数据库,你下载回来后,在ACCESS中把里面那个表粘贴到你的数据库里,表名随便,然后别忘了将数据库的扩展名改成.asp,这样就ok了。其实写一个ASP页来做最方便,不过我比较懒,哈。谁空闲时间多就写一个吧。

上面那段话其实写的很烂 根本没有阐明具体方法 有点故弄玄虚的感觉 口气上象刚出道学了点技术的菜鸟 然后装深沉 极度鄙视 但是我们提取其中关键的精华

现在我们找到了篇文章专门讲述昨天我和xuanliang所讨论的技术
http://www.blueidea.com/tech/program/2004/1827_2.asp
为了对其真实性作出评测 冰血封情决定亲自尝试
ps: 这里我们用 eWebSoft在线文本编辑器 来做例子 对其数据库进行修改测试是否可以防止下载 所用的测试空间是www.xyii.com的win2k ser+asp+cgi虚拟主机

现在我们直接将 eWebSoft在线文本编辑器 的数据库修改成了.asp 首先我们试图进行直接访问该地址
在经过漫长的等待后我们得到了如下的效果
点击在新窗口中浏览此图片
这个效果和年初我对桂林电子工业学院计算机系论坛进行安全检测的时候直接输入地址得到的一样
现在看看能否下载数据库
点击在新窗口中浏览此图片
可以下 那么我们下载回来把名字修改成mdb就可以正常使用了 那个图我就不抓了 现在我们按照前面那文章中的做法一样的修改自己的数据库
点击在新窗口中浏览此图片
已经做的是和他基本一样的 不一样的地方并不影响 看看他的
点击在新窗口中浏览此图片
现在我们将修改好的数据库上传到空间 再进行一次访问其绝对地址 效果是
点击在新窗口中浏览此图片
与他文章中的情况根本不相同 与前面的情况相比没什么太大的改变
点击在新窗口中浏览此图片
现在测试看看是否可以下载
点击在新窗口中浏览此图片
完全可以 下载回来我修改扩展名后打开完全正常 甚至可以看见我之前建立的那个表和列
请高手点拨到底问题在哪 我们将继续探索

林(222.84.172.165) 在 2004年6月14日13:43星期一 评论
唉,关掉这个网站以后发现自己忘记了地址,于是找啊找,终于找到了!
用了一点时间测试了其他的ASP程序,以一个下载系统为例吧,是什么我忘记了,反正英文名是TC30。将里面的数据库改为tcdown30.asp,打开:http://127.0.0.1/cxdown/tc30/tcdown30.asp
出现:
引用:
--------------------------------------------------------------------------------

8l軓剉'Y'Y?/a>  mojin  @4B苒普酅i$噗普酅zzdayb?@888,,,,,,,* @掣vX釦蔯?蠅釦userb皹 @ 666*******( @r?5ょm釦駖&#124;制蔗@news2b皍@888,,,,,,,* @nF&V蔥f釦俊帰7l釦Nclassb搬@:::......., @iG粥0&#124;;釦嶳?&#124;;釦MSysAccessXMLb?€MR2€KeepLocal  T&#124;&#124;&#124;<<<<<<<: @c儖頭璿釦琼鵡璿釦

--------------------------------------------------------------------------------


反正就是这些东西,太多了,又不能上传图片!
使用FLASHget下载,呵呵,速度太快了,本地的,抓不到数据,将得到的tcdown30.asp改名为tcdown30.mdb,打开,哈哈,得到了,成功。

好了,不再说了,下午是空手上台答辩,再不准备肯定死得很难看!

林(222.84.172.165) 在 2004年6月14日13:26星期一 评论
不知道各位试过DVBBS没有,今天看见各位探讨这样的一个问题,也参加一下吧,说得不好,希望不要介意!
我使用DVBBS做实验,因为我觉得这个在安全性方面应该是做的很不错的吧,将DVBBS7.MDB修改为DVBBS7.ASP,然后打开http://127.0.0.1/xfsq/data/dvbbs7.asp
发现是这样的:
引用:
--------------------------------------------------------------------------------

错误类型:
Active Server Pages, ASP 0116 (0x80004005)
Script 块缺少脚本关闭标记(% >)。
/xfsq/data/dvbbs7.asp, 第 1056 行

--------------------------------------------------------------------------------


从这个方面来说,那传说中的防止ASP文件被下载的说法是正确的,至于是DVBBS.MDB中是否真的有<%我不知道,冰血封情利用<%%>能下载,那就说明里面的代码应该是只需要写<%.。至于是不是真的可以我没有试过,下午要答辩,也没有时间试了。
得到的结论是DVBBS.ASP无法下载:
引用:
--------------------------------------------------------------------------------

Mon Jun 14 13:15:28 2004 正在连接 127.0.0.1 [IP=127.0.0.1:80]
Mon Jun 14 13:15:28 2004 已连接.
Mon Jun 14 13:15:28 2004 GET /xfsq/data/dvbbs7.asp HTTP/1.1
Mon Jun 14 13:15:28 2004 Host: 127.0.0.1
Mon Jun 14 13:15:28 2004 Accept: */*
Mon Jun 14 13:15:28 2004 Referer: http://127.0.0.1/xfsq/data
Mon Jun 14 13:15:28 2004 Cookie: 127%2E0%2E0%2E1%2Fxfsq%2F=StatUserID=4860338
Mon Jun 14 13:15:28 2004 User-Agent: Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)
Mon Jun 14 13:15:28 2004 Pragma: no-cache
Mon Jun 14 13:15:28 2004 Cache-Control: no-cache
Mon Jun 14 13:15:28 2004 Connection: close
Mon Jun 14 13:15:28 2004 HTTP/1.1 500 Internal Server Error
Mon Jun 14 13:15:28 2004 Server: Microsoft-IIS/5.1
Mon Jun 14 13:15:28 2004 Date: Mon, 14 Jun 2004 05:15:28 GMT
Mon Jun 14 13:15:28 2004 Connection: close
Mon Jun 14 13:15:28 2004 Content-Length: 4258
Mon Jun 14 13:15:28 2004 Content-Type: text/html
Mon Jun 14 13:15:28 2004 Expires: Mon, 14 Jun 2004 05:15:28 GMT
Mon Jun 14 13:15:28 2004 Cache-control: private
Mon Jun 14 13:15:28 2004 有错误发生!
Mon Jun 14 13:15:28 2004 等待 5秒后重试

--------------------------------------------------------------------------------


不过我还发现一个问题,就算是这样设置也可以直接下载,至于具体的原因,我也没有分析清楚。

xuanliang(220.173.112.36) 在 2004年6月13日16:14星期日 评论
对于文本类型等的数据,比如text,nvchar等,在数据库中可能的形式是“abc”,但是在导出文件中,已经变成了宽字符的形式,成了“a b c ”,这样子的话,即使你好心写的是一个“<%”,到了备份文件中,一样的成了“< % ”,里面的内容更是乱七八糟,根本不会被解释执行了(你自己不妨做个试验,我只重装了两次而已)。为了避免这种情况,我们创建的表列项应该是一个二进制形式的,比如属性为image,这样子,在里面添加的内容,原来是什么导出的备份文件中也就是什么,规规矩矩的,一点都不会变了。
from Backup a shell
武道馆 | 评论(3) | 引用(0) | 阅读(4596)
淡定 Email Homepage
2009/08/08 14:49
搞牧民战天的时候就发现它的数据库有个
引用
<% no down
字段,具体是咋写的忘了..
冰血封情 回复于 2009/08/15 22:35
汗,这个帖子还有人看?
antonia.
2009/04/04 00:58
瞧了几个小时字母了
花花的  看看思路
冰血封情 回复于 2009/04/04 02:48
^_^
a1pass Email Homepage
2008/01/30 21:16
越看越糊涂~~

防止下载不是在数据库中建一个禁止下载的表就可以了吗?

晕晕的~~
睡觉去了……
冰血封情 回复于 2008/01/31 17:38
讨论这个的时候,还没有那种放下载表的方法呢。:P
分页: 1/1 第一页 1 最后页