做网站的朋友可能都清楚,现在网上的代码都是你用我的我用你的,比如论坛都知道用动网论坛,它的默认账号密码一般的朋友都会去修改,可是还有一些朋友就是没注意到另外的安全问题,那就是默认数据库地址所带来的安全问题。动网的论坛就是一个再好不过的例子,由于其广泛被使用,所以我们往往会碰到许许多我的默认的管理员账号密码admin、admin888与默认的数据库data/dvbbs6.mdb、data/dvbbs7.mdb,还有,别忘了默认的备份数据库databackup/dvbbs7.mdb。比如前不久我访问站长茶馆的论坛,就很意外的发现了有默认的数据库,当然我并没有下载回来,只抓了个图,如图1:
图 1
1、默认数据库有什么危害?
我们大家都很清楚,对于一个动态的网站,数据库就是其核心,而后台管理员账号密码更是网站的核心,如果后台账号密码被人知道了,攻击者可以轻而易举的进入你的后台进行破坏,当然还可以做别的事,比如帮你补漏洞呵呵。下面我们将以动网后台为例向大家讲解攻击者进了后台后一般做什么,同时也想让大家知道如何防范。假设我下载了一个网站的动网论坛的默认数据库,我们可以发现动网数据库有一个表dv_user是与所有用户有关的,有一个表 dv_admin是与后台管理员有关的,如图2:
图 2
