网络资料库的安全建设主要应当看防火设备的优劣而定,网络上的资料库具有共享的味道,永远都不可能达到100%的安全性,基本上,想要达到85%以上的安全性时,已经相当不容易,如果希望要达到95%以上的安全性时,就必须看花费的金额多寡/
目前的网络资料库可以有效达到99%甚至99.9%的安全性,然而,要想每增加0.1%的比率时,花费的金钱将成加速型的正比型态。一般而言,我们没有这么多的预算,针对小型公司或一般个人网的资料库,更不可能架设一些防火设备,充其量,也顶多能在前端的程序与末端的服务器上动一些小技巧或手脚,比如将管理者的网页安插在远端的网址,登入后并非显示正确的页面等等方式。
看某网站网页的例子
对于使用ASP语言而言,网友经常会误以为ASP原始码如果跑出来,则资料库的路径与文件便泄漏出来,可以完全破解,所以初级的入侵者通常会花费很多时间在设法让服务器上的某种的效用降低,直接显示出全部或部分的ASP的原始码,以方便看到资料库路径而下载。
事实上,ASP的原始码可以经由某一些技巧看到,比方某网站在1998年7月份发表的IIS $DATA Error 中,对于
IIS 3.0
与
IIS 4.0 ,使用 ::$DATA 可以看到原始码;1999年4月份发表的Using FSO and ASP to Read Server Files 中,利用 ../ 也可以任意读取档案;1999年五月份发表的 IIS Schowcode ASP;以及1999年12月发表的Virtual Directory Naming Vulnerability;乃至于 2000年以后的 %20 ASP Source Disclosure Vunerability;Source Fragment Disclosure Vulnerability 等等 更多更多的方式都可以有效的查看到原始码的路径或档案的内容,而这一切的发生,普遍存在IIS 3.0/IIS 4.0/IIS 5.0 的系统中,以此推论,尚未暴露出来的漏洞,事实上也可以经过不断的测试来发现。
理论上,ASP的原始码永远都可以在网页上显示出来,话说回来,ASP的原始码泄漏的问题在于程序的泄漏,并非资料库的泄漏问题,网络资料库要达到基本的防范,便应当做到让使用者不能下载,就算路径与文件名都知晓,仍然不能下载应当是最基本的条件,而目前的网络资料库也都达到这个基本的要求。
以,资料库的文件名与路径的泄漏最害怕受到直接的攻击,服务端与资料库本身的防火设施才是最重要的课题,而不在于任何网页上程序码的问题。
提醒一下
任何的系统都可已达到相当程度的安全性,无论是使用CGI或ASP架构,也无论使用哪一种语言编写,更不用提到使用目前流行的XML与C#等等高度功能与结合性佳的语言。他们的共通特点是:这些语言与资料库的保全性并没有直接的关联性,充其量,他们只是一个连结的界面体,网页资料库的安全仍然必须建置在资料库本身的防御工作上,从资料库的规划,设计,一直到完成整个正规划的架构,整体的配套措施才是重点。
总之,任何语言都可以让资料库很安全,也很危险;对于黑客而言,先进的资料库并不代表比较安全,通常,这些新诞生的资料库漏洞会非常的多,反观,老旧型态的资料库因为漏洞已经暴露的差不多了,如果能加以防范,安全性绝对比心诞生的资料库安全许多。因而,大型的公司不淘汰使用几十年的资料库,换上新的资料库原因,主要仍在于安全与金额的考量上。换上新资料不是问题,只要写写简单的程序,通常任何的资料库内的资料彼此间都可以通过第三者的介面达到输出与输入的功能。
