技術(shù) 點
- 技術(shù)
- 點
- V幣
- 點
- 積分
- 1360
|
來群里也快2年了�����,今天第一次在論壇上冒泡��,最近發(fā)一個MDE會泄漏數(shù)據(jù)庫帳號信息的安全問題����,現(xiàn)在在王站的指導(dǎo)下已經(jīng)成功解決,現(xiàn)將相關(guān)解決方法分享給各位Access朋友��,希望大家在做自己系統(tǒng)的同時多考慮常量問題����,讓自己的后臺更安全. 如下是經(jīng)過編譯后的MDE格式文件,在用文本編輯器打開后顯示的基本都是亂碼���,但通過查找關(guān)鍵字pwd或server時就會發(fā)現(xiàn)寶藏��,后臺IP,端口,數(shù)據(jù)庫名,數(shù)據(jù)庫用戶名�,數(shù)據(jù)庫密碼這些信息一收眼底,大家想想有了這些信息還有什么不能做呢�,為什么非要受前臺設(shè)定權(quán)限的限制呢,而且曾經(jīng)用過的舊用戶信息也在里面,壓縮修復(fù)前臺都沒有用����。
一般來講這些信息最容易泄漏的有兩個地方,一是直接用鏈接表的方式��,此時相關(guān)信息會保存在隱藏的系統(tǒng)表Sysobjects中�����,另一種是直接用ADO寫在模塊代碼中���,一般來說MDB轉(zhuǎn)為MDE后就不能看到模塊的代碼了�����,但并不是完全看不到,還會有一些會顯示出來��。第三種就是鏈接表+模塊刷新���,這種泄漏和直接用ADO差不多��。
因為我們有時需要配置ODBC,而本地ODBC要和模塊代碼中的IP,端口,數(shù)據(jù)庫名,數(shù)據(jù)庫用戶名�����,數(shù)據(jù)庫密碼這些信息要同步�,所以只能通過下面這種方法去寫,當(dāng)然如果大家有更好的方法可以分享出來����,大家共同學(xué)習(xí)。
通過加密是可以實現(xiàn)這些���,一類是MD5加密�����,一類是改變字串的ASC來實現(xiàn)����,雖然采用ASC能反向解密�����,但在亂碼中沒有pwd,server,ip這類的關(guān)鍵字當(dāng)然也就無從下手了,也就間接的達(dá)到的加密的效果���。首先得定義一個函數(shù)模塊��?梢灾苯釉诩磿r窗口中去測試。
定義完成后就可以在數(shù)據(jù)庫連接代碼模塊中直接調(diào)用函數(shù)加密字串�。
最后再把文件編譯為MDE,此時再用文本格式打開就看不到后臺IP,端口,數(shù)據(jù)庫名,數(shù)據(jù)庫用戶名,數(shù)據(jù)庫密碼這些信息了���,同時查找pwd和server這些關(guān)鍵字也沒有了����。同樣都是在102行����,但顯示的信息完全不同了。當(dāng)然��,沒有真正意義上的安全�����,但能提升一步總是有好處的��,即使要破解也要花一定的時間��,而不是信手拈來�。
來自群組: Access粉絲團 |
本帖子中包含更多資源
您需要 登錄 才可以下載或查看,沒有帳號����?注冊
x
評分
-
| 參與人數(shù) 1 | 經(jīng)驗 +10 |
金錢 +10 |
技術(shù) +1 |
收起
理由
|
 5988143
| + 10 |
+ 10 |
+ 1 |
(其它)優(yōu)秀教程、原創(chuàng)內(nèi)容����、以資鼓勵、其. |
查看全部評分
|
IP卡
狗仔卡
發(fā)表于 2015-8-10 16:07:30
QQ好友和群
QQ空間
騰訊微博
騰訊朋友
收藏
分享
淘帖
訂閱
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
搶沙發(fā)
千斤頂
顯身卡
發(fā)表于 2015-8-10 16:09:29
