包河区上门维修电脑价格

包河区上门维修电脑教您如何保护您的数据库

一、数据库的获取

　　数据库对网站重要性不言而喻，那么黑客是通过什么手段得到网站数据库的呢？

　　1.默认的数据库路径

　　很多站长建站或论坛使用的都是现成的整站程序，这就造成了一个很大的安全隐患，即默认的数据库的路径。虽然在这些程序的说明文档中都提示修改数据库的默认路径，但是仍有些安全意识不高的站长不屑于修改或者不会修改。这样当黑客在该网站的地址后输入默认数据库的路径，就可以轻易下载到数据库。

　　2.暴库显示路径

　　什么叫“暴库”，简单得说就是构造特殊地址使网站程序运行出错，从出错的信息中得到数据库的路径。暴库并不是一门十分高深的技术，但是却可以很快得找到数据库路径，而且成功率很高。要想进行暴库，首先需要对IE进行设置，运行IE,点击“工具”菜单→“Internet选项”，切换到“”标签，将“显示友好HTTP错误信息”前面的勾去掉，然后保存，这样做是让浏览器返回真实的错误信息，而不是类似505错误，405错误等经过处理后的错误信息。找到一个存在暴库漏洞的程序，例如较早版本的“动力文章系统”。打开““动力文章系统”的任意页面，在IE地址栏中将该页面地址出现的最后一个“/”替换为“%5c”，然后回车，如果暴库漏洞存在，那么数据库路径将会马上显示出来。

　　3.防下载设置不够严密

　　排除程序的原因，数据库被下载很大一部分的原因是人为因素。有些站长已经认识到数据库的重要性，虽然没有修改默认的路径，但是将数据库默认的后缀名“mdb”改为了“asp”，这样即使别人知道了数据库的路径，也无法在浏览器中进行下载，而是直接在页面中显示数据库的内容，当然都是一些乱码。不过我们虽然无法在浏览器中下载，却可以借用专用的下载软件来实现数据库的下载，或者将页面中出现的所有内容复制到一个文本文档中，然后将这个文档的后缀名改为“mdb”。

　　还有一种情况就是站长在数据库的文件名中加入了“#”符号，例如原来的数据库名为123.mdb，加入“#”号后变成“#123.mdb”，这样当我们在地址栏中直接输入“http://www.***.com/#123.mdb”，是无法下载数据库的，而是显示“无法找到网页”。这是因为浏览器的编码格式会默认将“#”号变为“%23”，这样就成了另外一个网址，当然不可能下载到数据库。那么我们反过来将“%23”替换为“#”，填入到网址中，数据库不就可以正确下载了吗?

　　二、破解数据库中的管理员账户信息

　　得到数据库后可以做什么？可以归结为以下几点：1.破解得到网站管理员的账户名与密码；2.得到网站注册用户的信息；3.查看一些普通用户无法查看到的资料。其中最有价值的就是保存在数据库中的管理员账户信息。能成功得到管理员的账户密码，我们就成功了一半。

　　得到网站的数据库后（这里指的是Access数据库），将数据库的后缀名改为mdb，这样我们就可以使用“Microsoft Office Access”来打开数据库，通常在“admin”表中的就是管理员的账户信息。对于安全性不高的网站程序，管理员的账户名和密码会以明文的形式显示，这样我们就省去了破解这一步。而绝大部分的网站程序都对管理员的密码进行了md5加密。md5是一种不可逆的加密算法，加密过的数据不可能再还原，因此我们必须通过暴力破解，来获取密码原文。

　　1.网站破解

　　破解md5的最快方法是通过专门的破解网站。登陆“http://www.xmd5.org/go_cn.htm”，点击页面中的“解密”链接进行破解，将加密后的密文填入到文本框中，然后点击“给我转”，即可破解得到密码，但是这类网站有其局限性，只能破解简单的密码，而遇到强悍的密码就无能为力了。

　　2.软件破解

　　除了通过网站破解，我们还可以使用专门的md5密码破解工具。下载“md5crack”，无需安装可直接运行。运行后可以看到两个设置选项，分别是“密文设置”、“字符设置”，在“字符设置”中可以对破解形式进行选择。我们将需要破解的密文输入到“密文设置”中的“破解单个密文”文本框中，软件也可以同时破解多个密文，选中“破解多个密文”，点“设置”即可。