独家分享真正能防数据库下载的字符

  • A+
所属分类:安全文章

数据库防下载这个话题已是老生常谈了,比较有效的解决方案就是,空间本身上设置。

以下是两种白痴做法:
1. 后缀改成 asa或asp

有点含量的就是再在里面加防下载表;但同样是找死,代码是可以插闭合的,把后缀搞成这两种形式简直就是自杀;一句话就要了命。

2. 加入 # % 这两种特殊字符;%23和25%直接下,地球人都知道;

下面分享一种独家防下载方法【测试环境】,一个字符搞定:
就【】括号中这个字符:可能在网页上显示不出来,它的对应asc码是127,在记事本中 alt+127就出来了,win7下记事本中很像一个空格,XP记事本下应该显示的是一个黑棒棒。 如果在数据库名字中插入这个字符,那么它就再也没办法被解析出来,用 7F% 也是不行的,返回 Invalid URL 。
当然,如果utf-8编码的,也可以使用unicode字符,这也可以防下载,但是 对于gbk文件来说,unicode字符会被当问号,这样就没办法连接数据库了。而【】哪种编码都可以,用来防下载可以说是绝佳的选择。

经我的测试asc编码在1-255这些字符中,能同时在gbk和utf-8的编码中使用,也只有这一个字符有这样的奇效。如果你有其它nb字符也来分享一下吧。。。


备注: 【本字符在iis环境下实用,IIS6.0,IIS7.0,IIS7.5,IIS8.0 正式web服务器环境下通过测试 】 apache没测试(也没必要); 对于aspweb.exe 小旋风等本地简易服务器通不过 xp IIS5.1的ms也不行(正式的web服务器也不可能用这些低级的环境吧)。



核攻击:搞得太复杂了。直接在iis扩展映射里,添加一个 mdb --> c:windows不存在.dll - 专注网络安全$ e1 C' T: t: x! Z8 E. m0 L# {) U 即可。

访问任何 .mdb 后缀都会直接 404。

独家分享真正能防数据库下载的字符

本文始发于微信公众号(T00ls):独家分享真正能防数据库下载的字符

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: