■ 河南 郭建伟

编者按：暴库是黑客最常用的手段之一，是黑客通过各种刺探手段窥探数据库文件，并利用其中的敏感数据对网站进行攻击。Access数据库在网站中使用广泛，如不采取安全措施，网站管理员密码等敏感信息可被轻易获取。只有有效保护网站数据库安全，才能让黑客无功而返。

构造特殊名称，让黑客无法下载数据库

为防止黑客随意下载Access数据库，最简单的方法是在数据库名称前添加“#23%”前缀（如“#23%test.mdb”）或“23%23%”前缀（如“23%23%test.mdb”），这 样当下载数据库时，就会显示“Directoty Listing Denied”的错误提示。如果将其名称更改为“23%#test.mdb”或“##test.mdb”，就会出现“无法找到该页”提示，这同样会拦截数据库下载操作。实际上，也可以直接在数据库名称前加“%”符号，同样可以起到防下载的作用。

当然，为了保护数据库文件，可以在其名称前添加更多特殊字符。例如将其更改为“##%%23#test#$$%.mdb”等，如此复杂的名称格式可让常用的下载工具视其为非法的URL，这样即可保护数据库文件安全了。

为防止黑客使用URL加密方式避开上述限制，可以在数据库文件名中间夹杂空格符号。在IIS中可以采用更简单的更名方式来防御非法下载。例如将“test.mdb”更名为“test.ini”文件,并对“conn.asp”等连接文件中的数据库名称做同样修改，当黑客试图下载这样的文件时，就会出现无法找到该页的提示。

对于IIS来说，如果浏览器请求了一个服务器不知道的MIME文件类型。那么浏览器就无法将其传输给客户端，并返回404错误信息。因此，将“.mdb”的MIME类型删除就可防止数据库被非法下载。如果您使用的是虚拟空间，无权更改服务器MIME类型，可以将数据库更名为任意一个IIS中没有预设的MIME类型，就可以起到防止下载的作用。

灵活采取多种安全策略

很多网站采用的是公开的整站程序，数据库路径是公开的，如果不修改默认路径，攻击者可以毫不费力地下载数据库文件。

例如通过在数据库名称中添加“#”符号或对数据库进行加密，可防止非法下载。在数据库连接文件“conn.asp”中添加“on error resume next”语句，防止黑客暴库。当数据库路径被黑客发现后，为避免其下载数据库，可以将数据库文件存放到Web目录之外的地方。例如，可以在网站目录外建立一个文件夹，假设为“f:data”，将原数据库文件移动到该目录，再将“conn.asp”等连接文件进行修改，其中的数据库路径更改为新的数据库路径，如“DataSource= "&Server.mappath("../data/db.mdb")"”等。

因为数据库文件在域网站目录之外，攻击者自然无法下载，但该方法对使用虚拟空间网站用户不适合。为此可以变通解决，例如原数据库文件为“pctest.mdb”，可以更名为“pc%23test.mdb”，之后在“conn.asp”连接文件中修改数据库名称。这样就无法下载该数据库。

还可以在数据库目录下创建名为“pc#test.mdb”的虚假数据库文件，在其中写入警告信息。当攻击者利用“http://xxx.xxx.xxx.xxx/shu juku/ pc%23test.mdb”之类网址试图下载“pc%23test.mdb”文件时，下载的是“pc#test.mdb”这个虚假文件，显示的是该文件中的警告信息。

为抵御黑客暴库，可以打开IIS服务管理器，在IIS属性窗口中的“主目录”面板中点击“配置”按钮，在应用程序配置窗口中点击“添加”按钮，在弹出窗口中点击“添加”按钮，在“可执行文件”栏中输入“C:Windowssystem32inetsvrasp.dll”，在“扩展名”栏中输入“.mdb”，选择“限制为”项，输入“禁止”。点击“确定”按钮保存。当黑客试图下载数据库时，因为映射解析的作用，服务器会返回禁止访问的提示。

此外，还可以采用重定向技术保护数据库安全。例如在IIS管理器中打开目标网站，选择其中的数据库文件，右击“属性”项，在弹出窗口中选择“重定向到URL”项，在“重定向到”栏中输入当前网站的网址（或任意网址）。这样当访问该数据库时会自动跳转到重定向地址。

为防止网站数据库以及其他敏感信息不被搜索引擎收录，可以为“robots.txt”文件建立安全规则。例如将“robots.txt”中的原有内容清空，在其中写入“Useragent:*”和“Allow:/cgibin/*.htm”两行内容，这样就实现了只允许访问“cgibin”目录下的所有“.htm”类型文件的连接及相关的子目录连接，将数据库目录等敏感内容隐藏起来。

利用特殊字符对网站数据库进行探测，是黑客经常使用的招数，最简单有效的方法对“conn.asp”连接文件进行修改。例如，在其中逐行加入“<%”，“Option Explicit”、“Dim”、“Dim db”、“Dim Connstr”、“Db= "data/数据库实际名称.mdb"”、“ConnStr=”Provider= Microsoft.Jet.OLEDB.4.0;Data Source=”&Server.MapPath(db)”、“On Error Resume Next”、“Set conn = Server.CreateObject(“ADODB.Connection”)”、“conn.open ConnStr”、“If Ree Then”，“err.Clear”、“Ser Conn =Nothing”、“Response.Write =Nothing”、“Response.Write "数据库连接出现异常，请查看提交的数据！"”、“Reponse.End”、“End If”、“%>”等语句。这样就实现了数据库防暴库功能。当黑客使用上述方法试图探测网站的数据库真实路径时，服务器就会返回“"数据库连接出现异常，请查看提交的数据！”的警告信息。

对Access数据库进行安全配置

为防止黑客非法下载数据库，最根本的方法还需要从Access数据库本身着手，为其设置更多的安全措施。

例如，使用Access打开网站数据库，切换到表显示界面，点击工具栏上的“新建”按钮，在弹出窗口中选择“设计视图”项，在表设计窗口中的第一行中的“字段名称”列中输入“nodown”，在“数据类型”列中选择“OLE对象”项，点击“Ctrl+S”键，保存该表，将其名称设置为“nodown”。使用记事本创建名为“aaa.txt”的文件，并输入“<%”。

在数据库中打开上述“nodown”表，在对应记录行中右击“插入对象”项，在弹出窗口中选择“由文件创建”项，点击“浏览”按钮，选择上述“aaa.txt”文件，得到一个新的名为“包”的记录。这样可有效防止数据被随意下载。

对于数据库中的重要表，最好将其隐藏起来，以防止被别人随意窥视。打开网站数据库，选择其中需要隐藏的表，在属性窗口中选择“隐藏”项即可隐藏。按照同样方法可以隐藏其他的表。之后点击菜单“工具”→“选项”项，在选项窗口中的“视图”面板中取消“隐藏对象”项的选择状态，就可以将表彻底隐藏起来了。

为了防止黑客窥视数据库内容，可以对数据库进行加密。在Access中点击菜单“工具”→“安全”→“编码/解码数据库”项，在弹出的窗口中选择网站数据库，之后将其保存为合适的名称。通过对数据库文件进行编码操作，可以防止别人使用专用MDB数据库查看器来显示数据库内容。

接下来对数据库进行加密，点击菜单“文件”→“打开”项，选择网站数据库，在“打开”按钮右侧点击下拉标记，在弹出菜单中选择“以独占方式打开”项，打开数据库后，点击菜单“工具”→“安全”→“设置数据库密码”项，输入复杂的密码（注意，密码区分大小写），对数据库进行加密处理。

对数据库进行加密后，需要对“conn.asp”等数据库连接文件进行修改，添加和密码相关的语句（如“uid=;password-=密 码”等）。为防止黑客下载数据库，可以对网站目录中的数据库存放文件夹进行改名，最好将名称修改的比较复杂（如“database_lemon2015@#$”等）。进入该文件夹，将数据库名称进行必要的修改，例如在其前面添加“#”符号，将后缀改为“.asp”、“.asa”等，并将其和在数据库中插入“nodown”表的方法配合使用，可以有效提高数据库抗下载的能力。之后对数据库连接文件进行对应的修改，将数据库路径设置为与上述信息相符即可。

在设计ASP等网站时，如果有可能，尽量使用ODBC数据源，不要将数据库连接密码显示在ASP源程序中，不然黑客如果通过各种手段查看了数据库连接文件的话，再复杂的名称和路径都会被识破。如果使用ODBC数据源，就可以化解上市问题，因为类似于“conn.open "ODBCDSN名"”的连接语句会让黑客无所适从。