“conn.asp暴库”是一个很古老的暴库技术，它是通过直接访问数据库连接文件 conn.asp 使服务器产生错误，通过服务器返回的错误信息提示报出数据库地址的。 要注意的是，这里所说的数据库连接文件“conn.asp”是在 ASP 程序中对数据库调用的一个文件。在“conn.asp”数据库连接文件中，包含有被调用的数据库路径及数据库名等，如调用的 SQL 数据库，则还会含有 SQL 连接用户名和密码等内容。当然，网站程序的数据...

首先，要产生 %5c 暴库漏洞，必须要求访问的网页中有数据库调用。其原因是不言而喻的，只有数据库调用的页面，才会include包含数据库连接文件conn.asp。

另外，要求使用 %5c 解码提交的页面，至少为二级目录，也就是说，必须形如http://www.abc.com/2/*.asp

对于一些网站，只需要把站点链接的最后一个“/”改为“%5c”，就能够暴露出网站的数据库地址。为什么会出现这样的奇怪情况呢？ 在“conn.asp”文件中的几句数据库连接代码语句，看上去觉得并没什么问题，而且数据库的名字取得很怪，攻击者能猜到这样的数据库名几率几乎为零。但是将网页连接地址的“/”做一个小小的变换，改成“%5c”，由于 IE 浏览器的解码，将错误的网站路径传输给网站服务器，就可以通过返回的错误...

安装网站程序，首先修改默认的数据库文件名或路径，这是网站安全的第一注意事项，那么该如何更改数据库文件名及路径，保证网站程序的正常运行呢？ 1，修改数据库连接文件 入侵攻击者通过分析“conn.asp”文件，找到默认数据库文件名及路径的。其实，在许多网站程序中，都是通过“conn.asp”往往是约定俗称的网站数据库连接文件。大部分的网站程序，要修改默认数据库文件名及路径，通常都需要修改此文件。 用记...

默认数据库下载，本身并不算一个程序漏洞，而是由于建站者或网站管理员缺乏安全意识所造成的，一个人为作用产生的漏洞。此漏洞不仅存在于动网论坛程序中，大量的开源网站程序中，都可能因为管理员的疏忽，而为攻击者留下数据库下载入侵的漏洞。 下面给出一张开源程序默认数据库名单，在此名单中，列表显示了大部分常见的网站程序数据库默认地址。各位网站管理员，可看看所使用的建站程序是否在其中，如果所...

破解 MD5 密码的方法及工具很多，可以使用专门的暴力破解工具，也可以使用在线破解，甚至可以通过查看网站日志记录，从中截获密码。 1，MD5 密码暴破工具 攻击者常用的一个 MD5 密码暴力破解工具“MD5CrackV2.2”，它可以破解包括字母、数字、特殊字符的各种混合密码。 运行程序后，在“密码设置”中勾选“破解单个密文”，输入管理员密码密文。并设置要破解密码位数及密码中包含的字符类型，可设置为纯数字或纯...

作为每一个网站管理员，都应该具备基本的网站安全意识和知识，其中，安全意识是很重要的一点。是否具备安全意识，往往不仅是寻找安全的网站程序，还需要去主动地发现网站程序中可能存在的安全漏洞。但是许多网站管理员，将所有安全工作都交给了网站程序，以图一劳永逸--这往往导致了潜伏的入侵攻击威胁。 模拟一个论坛搭建流程 下面，我们将模拟一个普通建站者的建站流程，看看缺乏安全意识的建站者是如何...

上面的示例，是采用 ODBC 驱动程序连接 Access 数据库的。据微软表示，OLE DB 驱动程序的效率，比 ODBC 驱动程序更侍，因此有许多网站程序是采用DRIVER={Microsoft Access Driver(*mdb)},修改为Provider=Microsoft.Jet.OLEDB.4.0;，将 DBQ 改为 Data Source,即可实现 OLE DB 驱动连接 Access数据库。修改后的完整代码如下：

对于许多没有经验的程序设计师来说，手工进行过滤肯定是难免会留下过滤不严的漏洞，有一个比较简单而安全的方法，可以全面地对程序进行过滤，防止SQL脚本注入漏洞的产生。 可以在自己的程序中加入一个名为“SQL通用防注入程序 V3.1最终版”的程序过滤代码。只要经过简单的设置，这个程序就可以轻松地帮助建站者防范 SQL 注入。程序全面处理了通过 POST 和 GET 两种方式提交的注入，并且可以自定义需要过滤的...

直接开发一套网站源程序是非常费时费力的，许多建站者出于节约目的的考虑，往往会直接购买或下载一些免费的网站文章系统、论坛等源程序，再经过部分修改后使用。 由于网站的源程序是公开的，因此网站的核心数据库配置连接文件及路径等也是可知的，如果网管没有对源程序中的数据库文件名和文件路径进行修改的话，往往会存在着数据库暴露的安全危险。 普通网站程序使用的数据库通常有两种：一种是使用小型数...

根据注入时提交的变量参数类型，SQL注入点有不同的分类，不同的注入点，其注入时需要注意的事项也有所不同。按提交参数类型，SQL注入点主要分为下面 3 种。 1，数字型注入点 形如“http://****?ID=55”，这类注入的参数是“数字”，因此称为“数字型注入点”。 此类注入点提交的SQL语句，其原形大致为：Select * from 表名 where 字段=55 当我们提交注入参数为“http://****?ID=55 And[查询条件]”时，向数据库提交...

服务器的安全置关重要，如果服务器遭到入侵，那后果将不堪设想，一般我们维护服务器的人员都会有一套自己的安全策略，其实关于网络的入侵，一般都是因为一些网站的安全做得不到位，比如说SQL注入等等，所以这里重点讲一下如何通过服务器将网站的安全做好，我的做法是，将每个网站全部分割开，每一个网站有自己的独立用户管理，有自己的自己应用池，有自己的用户权限，这样分割开的话，当一个网站出现问题的...

网站运营的过程中，最令站长头痛的可能就是网站被入侵了，实际上，如果提前设置好网站的目录权限，就可以保证网站能够经受大部分的漏洞攻击。本文介绍了设置文件目录和数据库权限的方法，设置权限的方法也并不难，只要根据本文一步步进行操作，就可以大大提高网站的安全性。 网站目录权限的设置方法 大多数网站都是采用程序搭建，对于系统管理的目录，可以将其设置为可读也可执行脚本，但不可写入的权限;但...

今天闲来无事，暴库了一个汽车的企业站。 暴网站数据库当然还得用GOOGLE，在黑客界，可以说是很跪异，用百度就不行了，百度适合搜索未修改版权标识的论坛文章源码。 先打开要入侵的网站站点。。http://www.**qm.com/1.htm，分析其源码，直接查看页面源码，很垃圾的站点呀。 很明显的暴库路径是：Server.MapPath("ht/date.mdb"),很关键的一步，有了这个暴库代码后，可以想像得出数据库的路径了，http://www...

许多入侵攻击者，都在使用一个叫做“挖掘鸡 DigShell”的工具。“挖掘鸡 DigShell”是一个傻瓜化，同时又具有非常高的自定义功能的网站漏洞挖掘工具。利用这个工具，攻击者可以从网络上迅速搜索到存在漏洞的站点，尤其是存在着默认数据库下载漏洞的网站。 现在许多建站者都是从网上下载一些建站的程序直接使用的，没有经过任何修改，比如动网论坛、BBSXP等。殊不知这样子留下了一个巨大的漏洞，很可能成为别人...