大家都知道。一般的access的数据库的后堆都是 mdb的。
默认是可以被下载的。
被人看到里面的数据 。 网站就很有危险咯。
做IDC的人都知道。 服务器! 上有很多客户。! 有很多都是 用access+asp搭建的web,
其实可以在 在IIS中加个 mdb的解析.!! 在很多IDC中。 我发现一个存在问题。 就是 mdb 用asp.net的Dll 来解析mdb….
当然。 这样也可以防止下载。
Archive for the ‘安全防护’ Category
t00ls的一个帖子,以后有时间做下测试。
ASPX一些安全设置aspx功能越强大,对主机安全性威胁就越大,这里举例几个比较少见的东西:
1、WMI枚举、关闭{需要权限}进程,这个对象在脚本里很容易调用
2、System.Diagnostics的Process.GetProcesses可获取进程信息
3、操纵IIS 用DirectoryServices类,可以枚举IIS网站信息
aspx个人感觉很鸡肋,做限制很容易出问题,倒不如php来得舒服,下面贴个简单防范:
1、WMI对象禁用,可以关闭相关服务,2003系统,推荐关闭以下服务:
2、Diagnostics类process,可用gacutil.exe进行卸载组件
3、DirectoryServices类DirectoryEntry,可用gacutil.exe 进行.net组件卸载
