济南网站建设,网站运营维护,网站优化
技术探讨您当前的位置:智达维网络科技 > 建站知识 > 技术探讨 >

网站建设中数据库不做任何伪装隐藏处理的漏洞

更新时间:2018-11-29 10:22:48 作者:智达维建站 访问量:13

数据库不做任何伪装隐藏处理的漏洞
网站建设中数据库不做任何伪装隐藏处理的漏洞
    曾经发生的CSDN、人人网、天涯、新浪微博和腾讯QQ 等若干海量数据库被下载的最大互联网泄密事件,给所有的网站管理员敲响了安全防护的警钟,尤其是网站后台服务器上所保存的用户信息数据库。如果网站的数据库被黑客查找到并非法下载的话,即使其中所保存的用户账号密码是经MD5 加密的,造成的影响也几乎是无法衡量的——密码被解密、注册用户的隐私信息(比如手机号、工作单位等)被公布、经济造成损失(如图5 所示)。特别是大多数网站系统模板的数据库路径和名称都是比较固定的, 比如网站域名后添加“/databackup/dvbbs7.mdb ”、“ /admin/data/qcdn_news.mdb”或“/Databases/lixiang.mdb”,黑客可以直接构造出URL 来访问默认的数据库而进行非法下载操作(如图所示)。
    [漏洞预防措施]最常见的做法是将数据库进行各种伪装隐藏,而且是多种方式的结合效果会更好些。比如:把网站数据库存放到不容易被猜解到的深层目录中,再就是修改数据库名称(甚至是扩展名),最常规的做法是在数据库名称前面添加“#”、“&” 和“”之类的特殊字符,对于防止数据库被下载也具有一定的效果。在做好这些最基本的防下载措施之后,我们网站管理员最好是自己进行尝试下载,看是否能够成功。另外,我们也可以对数据库进行有条件访问的限制和加密等。
    文章说明:本站发布的所有文章,版权均属于智达维网络科技。如需转载、摘编或利用其它方式使用上述作品,请注明“转载自:智达维网络科技”或“转载自:智达维网络科技/网站建设相关文章”,谢谢您的浏览!

相关推荐
热线:0531-87583458 电话:0531-66812586 QQ:2676834962
Copyright 智达维网络科技 版权所有
ICP备案编号:鲁ICP备11034527号-1 鲁公网安备 37010402000703号

扫二维码加微信咨询

拨打客服热线

0531-87583458

在线客服