防止爆库的一些方法!

最新推荐文章于 2024-07-01 17:48:22 发布
转载 最新推荐文章于 2024-07-01 17:48:22 发布 · 2.2k 阅读 · 0
文章标签:

#服务器 #数据库 #iis #dll #扩展 #c

文章针对采用Accsee数据库的网站,介绍了IIS服务器防爆库的新方法。若对网站服务器有控制权,可通过一系列IIS设置操作,使即便数据库路径被爆,也无法被下载,还可自己编写DLL解释.mdb。

对于采用Accsee数据库的网站来说,爆库是绝对危险!以前自己对防爆库有很多错误的认识,今天看了几篇文章,对它有了新的认识!

一、对IIS服务器进行设置!

               此方法当然是要对你的网站服务器具有控制权了,如果是租用的服务器就没法用此方法了!  
       以前看到有人用 5% 来爆库的方法,也是需要设置IIS的,该方法也就只能爆出数据库的路径!但用了新的
       方法后,就算是被用 5% 爆了路径也不用怕,因为数据库根本没有办法进行下载!操作过程如下:

                1、在你的IIS中选中你的服务器,点鼠标右键选属性
                2、在主属性中,点编辑按钮,打开服务器的主属性设置
                3、选取 "主目录" 选项页,点配置按钮,打开应用程序配置页
                4、先查看"应用程映射"中是否已包含了 .mdb 的映射,有则跳过第5步
                5、点添加按钮,在.dll一项中填入 C:/WINNT/System32/inetsrv/asp.dll 或是其它的dll
                6、在扩展名那项当然是填 .mdb 啦,呵呵,关键一步就是在"动作"一项中选"限于"
                7、在限于一项中,随意填写一串字符即可,记千万不可填,POST,GET等相关的动作喔
                8、如上操作确定后即可,如果有条件的话,可以自己写一个DLL用来解释.mdb,呵呵

我就是要用MD5!不用不行!那么,怎么防止被拖后泄露用户密码?
accenturejack的博客
10-22 3122
最近(2015年10月20日前后)某邮箱系统被曝“泄露”了上亿用户数据,包括密码、密保问题等。无论是确有安全漏洞导致被“拖”,还是有心人利用“撞”的方法获得的用户数据,从留出的数据来看,用户的密码、密保等信息都还是使用的MD5 Hash摘要进行存储。 即便是已有组织早有警告MD5已经不再安全,仍然有浩若烟海的大小站点在使用MD5 Hash作为密码信息的存储手段。随手搜索一下,我们就可以发现,网...
防止数据库(被下载)的方法
TonyWang的专栏
06-29 2822
1,文件名中包含一些符号,试图通过Unicode与ASCII码的转换防止下载:这个方法我试过,完全没有效果。只要用flashget的“新建下载任务”,输入地址和名称,就可以下载了,用各种符号都没用。 2,将数据库名后缀名直接改为asp,试图通过asp解析防止下载:也没有用,直接在IE打开就是乱码,直接用flashget下载然后改名为mdb一样可以打开。 3,比较有用的方法是,新建一个文本文档abc
数据库整理篇
蓝法典的专栏
02-24 1836
篇首语:原来改mdb为asp就能防下载是鬼话。  引子:昨天和animator试验了一下,把data.mdb文件改名为data.asp文件后放在wwwroot目录里。然后在IE中输入data.asp路径后,发现IE显示一片空白,右键->察看源文件,跳出记事本,将内容另存为.mdb文件,用ACCESS打开,发现需要密码,也就是说至少文件头被破坏。  然后用Flashget试验下载data.asp文件
mysql表_Mysql 通过 information_schema 表,字段
weixin_42168230的博客
01-28 263
MySQL 版本大于 5.0 时,有个默认数据库 information_schema,里面存放着所有数据库的信息 (比如表名、 列名、对应权限等),通过这个数据库,我们就可以跨查询,列。若要从这些视图中检索信息,请指定完全合格的 INFORMATION_SCHEMAview_name名称。列名数据类型描述TABLE_CATALOGnvarchar(128)表限定符。TABLE_SCHEM...
数据库被后台破如何解决?
最新发布
@云安全小杜
07-01 870
在数字化时代,数据库安全成为企业与组织不容忽视的关键环节。其中,“后台破”攻击,即通过自动化工具尝试大量的用户名和密码组合,以非法获取数据库访问权限,是常见的安全威胁之一。本文将详细介绍如何识别、防御并解决此类攻击,同时提供实际可运行的代码示例。
数据库安全,如何防止数据库被入侵
dexun123的博客
11-28 1514
3、数据库的3306端口:数据库端口大部分小伙伴都是默认的,如果对外开发也很容易被破,这个时候一定要对相关的数据库端口做安全策略,限制对外开放,或者使用phpmyadmin对数据库进行管理等操作,网站的数据库调用账户使用普通权限账户,只有读写,增加删除等操作。最近很多小伙伴都反应自己的游戏、网站数据库遭到了不同程序的入侵,轻者被篡改数据,严重者数据库数据被全部删除,还有的小伙伴甚至被勒索,那么数据库攻击都有哪些,我们该如何预防数据库被入侵呢?常见的数据库攻击一般有。
PHP绝对路径方法收集整理
10-27
以下是一些常见的方法,PHP开发人员应该了解并采取预防措施: 1. **单引号路径**: 当单引号未被过滤(`gpc=off`)且服务器配置为显示错误信息时,攻击者可以在URL中添加单引号来触发错误,从而揭示路径。例如:...
临时防应急预案.docx
09-30
同时,严格遵守炸物品管理规定,也是防止灾难发生的关键一环。 在紧急情况发生后,扑救步骤要求行动迅速。向上级汇报、启动应急响应、初步扑救等一系列动作必须在极短的时间内完成。预案中对于不同类型的紧急情况...
易迅网CEO卜广齐:防止仓要做到对业务有充分前瞻.docx
09-27
易迅网CEO卜广齐在演讲中深入探讨了如何有效防止仓,他指出企业必须在业务前瞻性和资源规划上下足功夫,这两方面是确保业务高峰期能够平稳运行的关键。 首先,业务前瞻性是企业制定长远发展战略的基础。它要求...
入侵检测技术课件:2-8 漏洞.ppt
06-04
【入侵检测技术】中的【漏洞】是一个重要的网络安全议题,涉及到网站的防护和数据安全性。漏洞是指攻击者通过特定的技术手段暴露网站数据库的物理路径,从而可能获取敏感信息或对数据库进行非法操作。以下是...
bp攻击的尝试
不忘初心,护天下安全!
12-06 1372
也不知从何时开始,只要遇到群里分享登录界面了,我就会超级感兴趣,比如今天这个,是一个管理员后台登录界面: 首先不说错别字的问题,一试就看出了其他端倪。如果随便输入一个账号,会显示“用户不存在”: 如果输入admin,就会出现“密码输入不正确”。和以往不同,这次只有admin可以验证存在。 且因为没有注册功能,我们无法获知有关密码设置的有关信息。 使用burpsuite进行攻击,...
SQL注入渗透测试(初学者必看)
yi152787的博客
04-30 2763
原理基本一致的,也许站点不同但只要存在sql注入则需要进行数据库破,步骤及使用的参数基本相同,对参数不够熟悉的网友可以去某百某博查看相关信息,本次实验结束,本文章仅提供参考,请勿在未授权的情况下进行测试。本次实验利用sqlmap破工具对SQL靶场进行渗透测试(数据库破),最终目标:拿到用户名和密码,实验中页面出现的用户名密码可忽略,真实实战中一般不会直接出用户名和密码的。5.在security出users,已确定目标所在,进行第三步破 所使用到的参数 -D -T --colimn;
dvwa数据库andsqlmap数据库
2301_77315080的博客
08-28 644
正常提交payload为1。
sqlmap工具的实操--sql注入
weixin_66839513的博客
04-01 5666
sql注入原理就是将恶意的sql语句通过表单或者url拼接到web后端的查询语句中,绕过后端的认证,在后端被服务器执行恶意的sql语句,获取到数据库的权限,从而对数据库进行执行操作,造成数据的篡改及泄露。
Sqlmap入门表、字段、记录
weixin_56306210的博客
10-31 3761
Sqlmap表、字段、记录
%5C
eldn__的专栏
12-05 2961
当我们暴失败的时候不妨试试利用%5c绕过asp的验证 废话少说,看下面的代码:      guest_user=trim(request("guest_user"))   guest_password=trim(request("guest_password"))   Set rs= Server.createObject("ADODB.Recordset")   sql=
ASP+ACCESS原理和基本方法
weixin_33860737的博客
07-22 292
SQL注入流行很久了,我们找漏洞注入目的无非是想得到数据库内的东西,比如用户名密码等。(当然mssql数据库还可以借此获得权限)。如果我们不用注入就可以得到整个数据库,不是更好吗?于是暴成了一个比注入更简单的的***手段。 有关暴方法,高手们常在***文章中提高,但多是一笔带过,有些就某一个方法谈的,也多是就方法进行探讨。最近有一篇《再谈%5c暴的利用》文章,算...
手动详细流程以及语句解析
weixin_33964094的博客
06-25 596
mssql显错模式注入(字符型注入) 2.1 基本信息 2.1.1 判断存在注入 http://yjsc.ahau.edu.cn/web/InfoKindList.aspx?kind=0103′ 根据加单引号的错误回显,发现是字符型,再通过’ and ’1′=’1′ and ’2′=’2进一步判断。可以想象sql语句可能是:select * from ...
浅析和社工扫描
weixin_34055910的博客
01-01 749
背景 最近有关国内外互联网企业的密码安全问题受到了严峻的挑战和社区的广泛关注。腾讯安全团队的技术专家介绍了有关暴和社工扫描的内容。 常见密码存储方式对于用户来讲,用户密码信息显然是非常重要的,我们当然有必要了解社区管理者是如果保存我们的机密信息的。目前网站中主流存放用户名和密码的方式有三种: 明文存放。这种网站的用户数据特别危险,网站被黑客拿下,用户数据直接那走。可逆加密存放。你的密码会被加密...
自动上架与存控制神器-打造款与防倒货利器
4. 防止恶意购买:对于虚拟充值店铺来说,软件可以防止买家恶意购买大量虚拟商品。由于虚拟商品一旦支付就可发货,恶意购买会直接造成存的减少,影响正常销售。该软件可以通过将存设置为“永远是1”来限制购买...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值