1.在网站数据库文件名前面加#
##DatalaoY3.0sp1.mdb
但是经常玩渗透的都知道可以把#改成%23直接下载数据库
2.把文件##DatalaoY3.0sp1.mdb的后缀名改成asp
可以防下载,但是容易被hacker写入一句话木马
3.修改网站默认文件夹名
4.添加数据库名的如MDB的扩展映射
这个方法就是通过修改IIS设置来实现,适合有IIS控制权的朋友,不适合购买虚拟主机用户(除非管理员已经设置了)。这个方法我认为是目前最好的。只要修改一处,整个站点的数据库都可以防止被下载。无须修改代码即使暴露目标地址也可以防止下载
在 IIS属性---主目录---配置---映射---应用程序扩展那里添加.mdb文件的应用解析。注意这里的选择的DLL(或EXE等)似乎也不是任意的,选择不当,这个MDB文件还是可以被下载的, 注意最好不要选择asp.dll等。
ok。。。。。。。。
没有评论:
发表评论