两袖清风

数据库对于一个网站来说意味着什么?可能有很多站长会说只是一个记录数据的工具。这种说法固然没错，但是却遗漏了重要的一点，数据库也是一个网站安全的中心，一旦数据库被黑客得到，那么轻则得到网站数据和用户隐私信息，重则渗透网站，影响整个服务器的安全。正因为很多站长对数据库的安全意识不够，才导致很多安全问题的发生。本文将让大家了解数据库对一个网站的重要性，并为数据库建造一面“铜墙铁壁”。

　　一、数据库的获取

　　数据库对网站重要性不言而喻，那么黑客是通过什么手段得到网站数据库的呢？

　　1.默认的数据库路径

　　很多站长建站或论坛使用的都是现成的整站程序，这就造成了一个很大的安全隐患，即默认的数据库的路径。虽然在这些程序的说明文档中都提示修改数据库的默认路径，但是仍有些安全意识不高的站长不屑于修改或者不会修改。这样当黑客在该网站的地址后输入默认数据库的路径，就可以轻易下载到数据库。

　　2.暴库显示路径

　　什么叫“暴库”，简单得说就是构造特殊地址使网站程序运行出错，从出错的信息中得到数据库的路径。暴库并不是一门十分高深的技术，但是却可以很快得找到数据库路径，而且成功率很高。要想进行暴库，首先需要对IE进行设置，运行IE,点击“工具”菜单→“Internet选项”，切换到“高级”标签，将“显示友好HTTP错误信息”前面的勾去掉，然后保存，这样做是让浏览器返回真实的错误信息，而不是类似505错误，405错误等经过处理后的错误信息。找到一个存在暴库漏洞的程序，例如较早版本的“动力文章系统”。打开““动力文章系统”的任意页面，在IE地址栏中将该页面地址出现的最后一个“/”替换为“%5c”，然后回车，如果暴库漏洞存在，那么数据库路径将会马上显示出来。

　　3.防下载设置不够严密

　　排除程序的原因，数据库被下载很大一部分的原因是人为因素。有些站长已经认识到数据库的重要性，虽然没有修改默认的路径，但是将数据库默认的后缀名“mdb”改为了“asp”，这样即使别人知道了数据库的路径，也无法在浏览器中进行下载，而是直接在页面中显示数据库的内容，当然都是一些乱码。不过我们虽然无法在浏览器中下载，却可以借用专用的下载软件来实现数据库的下载，或者将页面中出现的所有内容复制到一个文本文档中，然后将这个文档的后缀名改为“mdb”。

　　还有一种情况就是站长在数据库的文件名中加入了“#”符号，例如原来的数据库名为123.mdb，加入“#”号后变成“#123.mdb”，这样当我们在地址栏中直接输入“http://www.***.com/#123.mdb”，是无法下载数据库的，而是显示“无法找到网页”。这是因为浏览器的编码格式会默认将“#”号变为“%23”，这样就成了另外一个网址，当然不可能下载到数据库。那么我们反过来将“%23”替换为“#”，填入到网址中，数据库不就可以正确下载了吗?

　　二、破解数据库中的管理员账户信息

两袖清风

让我们先来剖析一下由QQ产生的两种攻击形式：

　?泄漏的网络信息导致攻击

　?QQ也是通过互联网传播信息的，所以它也必须遵循网络的数据包传输方式，既然如此，它的信息包文件也必定包括了本机的网络信息，如此一来，通过QQ就可以获得对方的详细IP地址，腾讯开发的自动显示对方IP的“IP版QQ”就是使用频率较高的。如图1所示，这就是一个“IP版QQ”所显示的信息，它不仅可以有限显示对方的IP地址；还可以追加出对方所在的地域位置。黑客通过QQ侦测到对方的详细IP地址；端口号后，再利用这些信息实施进一步的攻击。如利用黑客软件攻击或者堵塞掉xxx.xxx.xxx.xxx主机地址上的xxxx QQ端口，使QQ无法上线，或者消息不能发送等等。

??提示：黑客们一般通过观察对方QQ所使用的端口号来判断对方是否在主机上使用QQ。因为QQ默认使用的端口号为“4000”，如果是4001、4002等端口，说明是在主机上同时使用几个QQ，如果对方QQ的端口号离“4000”较远，说明对方可能是通过这台电脑代理服务器上网。

??知道了由QQ泄漏网络信息产生攻击的道理，就可以对症下药了。这同样是“IP版QQ”所显示出来的信息，但它丝毫没有泄漏对方的网络信息，这是怎么回事呢？这正HTTP代理上网后的效果。

??如何在QQ里，启用HTTP代理呢？单击QQ软件主界面下面的“系统菜单”按钮(软件最下面，灰色有“QQ2000”字样的按钮)，选择［系统参数］→［QQ参数设置］→［网络设置］项，勾选“有效HTTP1.1代理设置”，然后输入代理服务器地址、端口，以及其他一些相关信息就可以了。

　?使用HTTP代理可以有效地防止QQ泄漏本机的网络信息，且HTTP的代理服务器网上也有很多免费提供。如果你实在找不到合适代理服务器，可以直接使用腾讯公司提供的HTTP代理服务器。不过腾讯的代理服务器只提供给会员使用。

　?除了有效的代理手段，还可以使用网络防火墙防止QQ外泄本机信息。网络防火墙的“网络规则”相关设置里都可以限制本机发送的IP包头，防止QQ的发送的信息把本机的IP外漏。但使用网络防火墙的同时会给QQ带来副作用。例如：使用防火墙做出了针对QQ的设置后，很可能会导致QQ消息无法发送；无法登录QQ等情况。

　?对QQ自身的信息攻击

　?“坏人”可以采取“信息炸弹”的形式来攻击QQ。所谓“信息炸弹”，就是利用QQ的及时通讯形式，发送上万条的信息，如此以来，不但影响了正常的信息收发，信息发送量过大的情况下还会使QQ掉线。最棘手的是，普通的网络防火墙会认为这是正常的QQ消息，不会将其拦截。

　?对于信息炸弹而言，没有一个完全有效的阻止方式。我只能提供一些相对的防范方式：

　?1.不要轻易添加来路不明的陌生人，因为他们很可能是不怀好意而来。不要在QQ上惹是生非，以免惹祸上身。

　?2.在腾讯新推出的版本里面采取了一定安全措施阻止信息炸弹，经试验，在新版QQ里如果在规定时间里连续发信数量过大，会被系统拒绝。所以要防止信息炸弹最好是常常升级QQ版本。最后还应该设置“拒绝陌生人消息”。方法是：按前面所介绍的步骤，打开“QQ参数设置”窗口，选择“参数设置”项，勾选“拒绝陌生人消息”就可以了。

两袖清风

几乎所有企业对于网络安全的重视程度一下子提高了，纷纷采购防火墙等设备希望堵住来自Internet的不安全因素。然而，Intranet内部的攻击和入侵却依然猖狂。事实证明，公司内部的不安全因素远比外部的危害更恐怖。

??大多企业重视提高企业网的边界安全，暂且不提它们在这方面的投资多少，但是大多数企业网络的核心内网还是非常脆弱的。企业也对内部网络实施了相应保护措施，如:安装动辄数万甚至数十万的网络防火墙、入侵检测软件等，并希望以此实现内网与Internet的安全隔离，然而，情况并非如此!企业中经常会有人私自以Modem拨号方式、手机或无线网卡等方式上网，而这些机器通常又置于企业内网中，这种情况的存在给企业网络带来了巨大的潜在威胁，从某种意义来讲，企业耗费巨资配备的防火墙已失去意义。这种接入方式的存在，极有可能使得黑客绕过防火墙而在企业毫不知情的情况下侵入内部网络，从而造成敏感数据泄密、传播病毒等严重后果。实践证明，很多成功防范企业网边界安全的技术对保护企业内网却没有效用。于是网络维护者开始大规模致力于增强内网的防卫能力。

??下面给出了应对企业内网安全挑战的10种策略。这10种策略即是内网的防御策略，同时也是一个提高大型企业网络安全的策略。

1、注意内网安全与网络边界安全的不同

??内网安全的威胁不同于网络边界的威胁。网络边界安全技术防范来自Internet上的攻击，主要是防范来自公共的网络服务器如HTTP或SMTP的攻击。网络边界防范(如边界防火墙系统等)减小了资深黑客仅仅只需接入互联网、写程序就可访问企业网的几率。内网安全威胁主要源于企业内部。恶性的黑客攻击事件一般都会先控制局域网络内部的一台Server，然后以此为基地，对Internet上其他主机发起恶性攻击。因此，应在边界展开黑客防护措施，同时建立并加强内网防范策略。

2、限制VPN的访问

??虚拟专用网(VPN)用户的访问对内网的安全造成了巨大的威胁。因为它们将弱化的桌面操作系统置于企业防火墙的防护之外。很明显VPN用户是可以访问企业内网的。因此要避免给每一位VPN用户访问内网的全部权限。这样可以利用登录控制权限列表来限制VPN用户的登录权限的级别，即只需赋予他们所需要的访问权限级别即可，如访问邮件服务器或其他可选择的网络资源的权限。

3、为合作企业网建立内网型的边界防护

??合作企业网也是造成内网安全问题的一大原因。例如安全管理员虽然知道怎样利用实际技术来完固防火墙，保护MS-SQL，但是Slammer蠕虫仍能侵入内网，这就是因为企业给了他们的合作伙伴进入内部资源的访问权限。由此，既然不能控制合作者的网络安全策略和活动，那么就应该为每一个合作企业创建一个 DMZ，并将他们所需要访问的资源放置在相应的DMZ中，不允许他们对内网其他资源的访问。

4、自动跟踪的安全策略

??智能的自动执行实时跟踪的安全策略是有效地实现网络安全实践的关键。它带来了商业活动中一大改革，极大的超过了手动安全策略的功效。商业活动的现状需要企业利用一种自动检测方法来探测商业活动中的各种变更，因此，安全策略也必须与相适应。例如实时跟踪企业员工的雇佣和解雇、实时跟踪网络利用情况并记录与该计算机对话的文件服务器。总之，要做到确保每天的所有的活动都遵循安全策略。

5、关掉无用的网络服务器

??大型企业网可能同时支持四到五个服务器传送e-mail，有的企业网还会出现几十个其他服务器监视SMTP端口的情况。这些主机中很可能有潜在的邮件服务器的攻击点。因此要逐个中断网络服务器来进行审查。若一个程序(或程序中的逻辑单元)作为一个window文件服务器在运行但是又不具有文件服务器作用的，关掉该文件的共享协议。

6、首先保护重要资源

??若一个内网上连了千万台(例如30000台)机子，那么要期望保持每一台主机都处于锁定状态和补丁状态是非常不现实的。大型企业网的安全考虑一般都有择优问题。这样，首先要对服务器做效益分析评估，然后对内网的每一台网络服务器进行检查、分类、修补和强化工作。必定找出重要的网络服务器(例如实时跟踪客户的服务器)并对他们进行限制管理。这样就能迅速准确地确定企业最重要的资产，并做好在内网的定位和权限限制工作。

7、建立可@@的无线访问

??审查网络，为实现无线访问建立基础。排除无意义的无线访问点，确保无线网络访问的强制性和可利用性，并提供安全的无线访问接口。将访问点置于边界防火墙之外，并允许用户通过VPN技术进行访问。

8、建立安全过客访问

??对于过客不必给予其公开访问内网的权限。许多安全技术人员执行的“内部无Internet访问”的策略，使得员工给客户一些非法的访问权限，导致了内网实时跟踪的困难。因此，须在边界防火墙之外建立过客访问网络块。

9、创建虚拟边界防护

??主机是被攻击的主要对象。与其努力使所有主机不遭攻击(这是不可能的)，还不如在如何使攻击者无法通过受攻击的主机来攻击内网方面努力。于是必须解决企业网络的使用和在企业经营范围建立虚拟边界防护这个问题。这样，如果一个市场用户的客户机被侵入了，攻击者也不会由此而进入到公司的R&D。因此要实现公司R&D与市场之间的访问权限控制。大家都知道怎样建立互联网与内网之间的边界防火墙防护，现在也应该意识到建立网上不同商业用户群之间的边界防护。

10、可@@的安全决策

??网络用户也存在着安全隐患。有的用户或许对网络安全知识非常欠缺，例如不知道 RADIUS和TACACS之间的不同，或不知道代理网关和分组过滤防火墙之间的不同等等，但是他们作为公司的合作者，也是网络的使用者。因此企业网就要让这些用户也容易使用，这样才能引导他们自动的响应网络安全策略。

??另外，在技术上，采用安全交换机、重要数据的备份、使用代理网关、确保操作系统的安全、使用主机防护系统和入侵检测系统等等措施也不可缺少。

两袖清风

这些天我去了黑基逛了逛.
几经波折,
终于让我学会了使用黑防鸽子.
我发现黑客好热门哦!
每天每个版面都有上百发帖量!

两袖清风

不知我们的版主是不是传说中的高手

两袖清风

不说了!要去上课了!