当前位置:主页 > 电脑基础 >

手动解决开源程序安全隐患

  安装网站程序,首先修改默认的数据库文件名或路径,这是网站安全的第一注意事项,那么该如何更改数据库文件名及路径,保证网站程序的正常运行呢?

  1,修改数据库连接文件

  入侵攻击者通过分析“conn.asp”文件,找到默认数据库文件名及路径的。其实,在许多网站程序中,都是通过“conn.asp”往往是约定俗称的网站数据库连接文件。大部分的网站程序,要修改默认数据库文件名及路径,通常都需要修改此文件。

  用记录本打开网站程序目录下的“conn.asp”文件,通常会看到类似于: Db="data/dvbbs7.mdb" 这样的代码,此句即是用来定义数据库路径及文件名的代码了。将其中的数据库文件名及路径修改一下,如这里改为:Db="data2/dada2020.asp"。

  数据库路径尽量修改得少见一些,而数据库的文件名也要修改得复杂一些,以避免被攻击者猜解。另外,数据库文件名后缀可修改为.asp,这样安全性会高上许多。因为在浏览器中访问.asp的数据库文件时,数据库文件将会被当做为 asp 网页文件进行解析,因此直接显示乱码内容而无法进行下载。

  另外,在数据库文件名中,加上一个“#”号,就可以有一定程序上防止数据库被下载。这是因为在网址链接中“#”被当做一个截断符,IE会自动忽略#号后面的内容,因此无法下载或访问到真实的文件名。例如,前面的代码中文件名路径可改为“data2/dada#2020.asp”,在 IE 中访问时,会提示找不到网页。

  2,修改数据库路径

  修改了数据库连接文件“conn.asp”中的数据库路径后,还需要将原有的数据库文件改名后移动到指定的路径中。

  打开网站程序目录,将其下的“data”文件夹,改为指定的路径“data2”,并将默认的数据库文件名“dvbbs7.mdb”改为“data2/dada#2020.asp”即可。

  不过需要注意的是,仅做上面的修改是不够的,上面介绍的这两种方法仅能防止数据库的直接下载攻击。攻击者可能还会通过其他方法绕过这些限制,对数据库采取其他方式的攻击。

  • 关注微信

猜你喜欢

微信公众号