在互联网技术飞速发展的今天，人们早已不仅仅满足于由HTML构建的简单网页，因此互动的ASP等技术应运而生，而目前使用“IIS+ASP+Access”是中小型Internet网站的首选方案。

　　但随之而来的安全问题也日益显著，IIS漏洞层出不穷、ASP代码编写失误等，其中最容易被攻击者利用的莫过于mdb数据库被非法下载了，轻则网站被恶意修改，重则机密资料外泄。

　　一般情况下基于ASP构建的网站程序和论坛数据库的扩展名默认为mdb，这是很危险的。只要猜测出了数据库文件的位置，然后在浏览器的地址栏里面输入它的URL就可以轻易地下载该文件。就算我们对数据库加上了密码并且里面管理员的密码也被MD5加密，被下载到本地以后也是很容易被破解。数据库的加密方法仅仅进行了一次异或运算，我们通过很小的程序就可以得到密码。而MD5密码破解工具在网络上也很容易找到。因此只要数据库被下载了，那数据就没有丝毫安全性可言。

　　图1就是下载数据库news.mdb后，随意查看到的管理员的用户名和密码信息。可以直接看到“admin”和“好人”的密码分别为“wzp12345”和“fuyewerjl”。如果这样的管理员权限被别人利用，那么这个网站就危险了！一个精心设计的网站就可能就会被修改得面目全非。最恐怖的是这些操作不需要什么攻击知识，仅仅是会点击鼠标和操纵键盘就可以搞定。

　　目前常用的数据库文件防止被非法下载的方法有以下几种：

　　1.把数据库的名字进行修改，并且放到很深的目录下面。比如把数据库修改为Sj6gf5.mdb并且把它放到很深的目录下面，比如放到/data/me/cn/da/mdb下面，攻击者猜测数据库的位置就很困难。这样做的弊端就是，如果ASP代码文件泄漏，那无论隐藏多深都没有用了。

　　2.把数据库的扩展名修改为ASP或者ASA等不影响数据查询的名字。但是有时候修改为ASP或者ASA以后仍然可以被下载……比如我们将它修改为ASP以后，直接在IE的地址栏里输入网络地址，虽然没有提示下载，但是却在浏览器里出现了一大片乱码。这样的情况如果使用Flashget等下载工具，就可以直接把数据库文件下载回来。

　　在笔者的测试过程中就遇到了ASP和ASA文件也会被下载的问题，可以通过以下的方法解决：

　　在给数据库的文件命名的时候，如果数据库文件命名为“#admim.asa”则可以完全避免用IE下载。但是如果破坏者猜测到了数据库的路径等，用Flashget就可以成功地下载回来，然后把下载后的文件改名为“admin.mdb”则网站秘密就将暴露。所以我们要有一种Flashget无法下载的方法。

　　因为以前受到unicode漏洞攻击的缘故，网站在处理包含unicode码链接的时候将会不予处理。所以我们可以利用unicode编码(比如可以利用“%3C”代替“<”等)。来达到我们的目的。

　　而Flashget在处理包含uncode码链接的时候却“自作聪明”地把unicode编码做了对应的处理，比如自动把“%23”这一段unicode编码形式的字符转化成了“#”，所以你向Flashget提交一个http://127.0.0.1/xweb/data/%23xadminsxx.mdb的下载链接，它却解释成了http://127.0.0.1/xweb/data/#xadminsxx.mdb。看看我们上面网址的地方和下面的重命名的地方是不同的，Flashget把“%23xadminsxx.mdb”解释为了“#xadminxx.mdb”。

　　如果提示下载失败，攻击者肯定要想别的攻击方法。由此我们可以另衍生出一种防范的方法。既然Flashget去找那个名为“xadminxx.mdb”的文件了，我们可以给它准备一个，我们给它作一个仿真的“xadminxx.mdb”，这样当入侵者想下载文件的时候的确下载了一个数据库回去，他们肯定会偷偷地笑，实际上偷偷笑的是我们。

注：你也可以任意改变“%23”编码，也可以达到同样的效果！