网站首页 | 公司简介 | 业务范围 | 案例展示 | 新闻资讯 | 留言反馈 | 联系我们 | 程序出售
 
 
★新闻资讯★
技术支持
行业动态
休闲娱乐
免费下载
帮助中心
解决方案
本站公告
★服务热线★
029-86122132
013572147337
013991215365
4008-168-029
★在线咨询★
【广告设计】
【网站建设】
【网站咨询】
【推广咨询】
【优化咨询】
【维护咨询】
【安全咨询】
【空间咨询】
【域名咨询】
【技术支持】
 
 >> 新闻资讯 >> 查看新闻信息  
网站设计之深入剖析(七)由重庆网站建设公司独家提供
【信息涉及侵权、违法、错误,请来电 029-86122132 013572147337 013991215365 4008-168-029】
 
    Web服务的网站建设数据主要包括数据库,静态页面和媒体数据。本文所述数据安全主要指建站研究常用数据库不被非法访问和静态页面和媒体数据不被非授权使用,下文将分节论述这两个问题。  
    在ASP+Access应用系统中,如果获得或者猜到Access数据库的存储路径和数据库名,则该数据库就可以被下载到本地。例如:对于网上书店的Access数据库,人们一般命名为book.mdb、store.mdb等,而存储的路径一般为“URL/database”或干脆放在根目录(“URL/”)下。这样,建站工作者只要在浏览器地址栏中敲入地址:“URL/database/store.mdb”,就可以轻易地把store.mdb下载到本地的机器中。  
    由于Access数据库的加密机制非常简单,所以即使数据库设置了密码,解密也很容易。建站关注该数据库系统通过将用户输入的密码与某一固定密钥进行异或来形成一个加密串,并将其存储在*.mdb文件中从地址“&H42”开始的区域内。由于异或操作的特点是“经过两次异或就恢复原值”,因此,用这一密钥与*.mdb文件中的加密串进行第二次异或操作,就可以轻松地得到Access数据库的密码。基于这种原理,可以很容易地编制出解密程序。  
    在数据库新建一个表,表名为<%safe就可以了,这样IIS在解析的时候会出现500错误,数据库也就不会被下载了。  

    在你的数据库文件名后门加上# (不是扩展名,比如name#.mdb)这样IIS就以为你是在请求该目录中默认的文件名,比如index. asp 网页设计,如果IIS找不到就会发出403禁止浏览目录的错误警告。  

    在IIS中是把数据库所在的目录设为不可读,这样就可以防止被下载,这样做也不会影响asp程序的正常使用。  

    直接使用数据源 (ODBC)这样数据库就可以不用在web目录里面,从而彻底防止被下载。  
    SQL Server 企通互联使用的Tabular Data Stream协议来进行网络数据交换,如果不加密的话,所有的网络传输都是明文的,包括密码、数据库内容等等,这是一个很大的安全威胁。能被人在网络中截获到他们需要的东西,包括网站建设数据库帐号和密码。所以,在条件容许情况下,最好使用SSL来加密协议,当然,你需要一个证书来支持。  
    默认情况下,SQL Server使用1433端口监听,很多攻击都基于此,所以我们应该改变这个端口。方法是在实例属性中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,建站师然后在实例属性中选择网络配置中的TCP/IP协议的属性,将TCP/IP使用的默认端口变为其他端口。  
    删除mysql中的所有默认用户,只保留本地root账户,为root用户加上一个复杂的密码。赋予普通用户 update、delete、alert、create、drop权限的时候,并限定到特定的数据库,尤其要避免普通客户拥有对mysql数据库操作的权限。检查 mysql.user表,取消不必要用户的shutdown_priv,reload_priv,process_priv和 File_priv权限,这些权限可能泄漏更多的服务器信息包括非mysql的其它信息出去。可以为mysql设置一个启动用户,该用户只对mysql目录有权限。设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。对于mysql安装目录给users加上读取、列目录和执行权限。  
    MySQL服务器通过在MySQL数据库中的授权表提供了一个灵活的权限系统。你可以设置这些表的内容,允许或拒绝客户对数据库的访问,这提供了防止未授权的网络访问对你数据库攻击的安全手段。所需要做的是保证数据库文件对于各个用户的私有性和日志文件的只读性。  
 
信息分类:行业动态  信息来源:重庆网站建设 重庆软件公司 重庆伍佰网络有限公司  添加时间:2011-7-12 16:06:43  浏览次数:
上一组:IBM云计算开始应用于开发商(上篇)由重庆网站建设 下一组:网站设计之深入剖析(六)由重庆网站建设公司独家提供
版权所有© 西安四方科技有限公司 违者必究  客服热线:029-86122132 013572147337 013991215365 4008-168-029  传真号码:029-86122132
联系地址:陕西省西安市未央区龙翔御苑50101室 710016  E-mail:500web@21cn.com  中国工业和信息化部ICP备案号:陕ICP备09005782号
本站由四方科技(网站建设 软件开发 网站推广 域名注册 网站空间 广告与多媒体制作)提供技术支持