|
|
|
Forum Member
 
участник
Last Login: 25.12.2007 12:56
Сообщ.: 43,
Visits: 178
|
|
| Возникла проблема. Прошу помощи. Столкнулся с проблемой безопасности ASP приложения с БД Access. В настройках IIS на хосте parking на папку с БД закрываю анонимный доступ, но программеры все-равно умудряются скачать БД!!! По крайней мерее меняют пароль администратора. Как защитить приложение от скачки БД или хака? Ресурс http://chaspik.org Я в замешательстве. Заранее благодарен.
фанат
|
|
|
|
|
Supreme Being
модератор
Last Login: 04.05.2008 13:32
Сообщ.: 7 240,
Visits: 65 445
|
|
| Лучше всего располагать базу в каталоге который недоступен из веба. Если такой возможности нет, то закрой доступ на чтение к каталогу или к файлу.
|
|
|
|
|
Forum Guru
участник
Last Login: 20.03.2008 12:32
Сообщ.: 53,
Visits: 470
|
|
| Простите bazile, не понял, для кого закрыть доступ на чтение? Если для юзера IUSR_XXXX, то asp не сможет соединиться с базой. Думаю, что раз хакеры умудряются поменять пароль администратора, то сервер имеет серьезные дыры в безопасности, через которые они и пролазят, причем вне зависимости от настроек доступа к папке с БД. Мое мнение - необходимо срочно патчить сервак!
|
|
|
|
|
Supreme Being
модератор
Last Login: 04.05.2008 13:32
Сообщ.: 7 240,
Visits: 65 445
|
|
| Я имею в виду не NTFS права, а права на доступ извне. В настройках папки IIS есть закладка Home Directory или Directory с галочками Read, Write, Directory browsing и т.д. Вот галочку Read и надо снять. Это запрещает доступ к содержимому каталога всем внешним пользователям. Установить последние обновления тожке полезно, но я уверен что хостер это уже сделал.
|
|
|
|
|
Forum Member
участник
Last Login: 25.12.2007 12:56
Сообщ.: 43,
Visits: 178
|
|
В настройках IIS галочки на чтение/запись/анонимный доступ/Простая аутентификация - сняты.
фанат
|
|
|
|
|
Supreme Being
модератор
Last Login: 04.05.2008 13:32
Сообщ.: 7 240,
Visits: 65 445
|
|
| У сайта есть административный веб-интерфейс? Может пароль меняется именно через него? Потому что допустим они скачали базу, но залить ее обратно просто так не получится.
|
|
|
|
|
Forum Member
участник
Last Login: 25.12.2007 12:56
Сообщ.: 43,
Visits: 178
|
|
админ интерфейс есть, но точно не через него. Там кроме пароля, дополнительно код нужно ввести, который зашит в ASPшнике.bazile: Потому что допустим они скачали базу, но залить ее обратно просто так не получится. Да.. назад не могут - это факт. Я думаю, может скриптом-автободбором каким-нить пробовали? У меня в случае неудачной авторизации сбрасовало на страницу, содержащую форму авторизации без введения кода проверки. Сейчас я убрал с этой страницы форму, так что на автомат не поставить. Теперь ещё... статистика загрузок формы авторизации не так уж и большая 250 + - 20. Последний пароль состоял из 13 символов (с двух раскладок клавы). Неужто робот способен всего из 200 комбинаций подобрать подобный пароль? Это невозможно. Короче я в шоке и пока не знаю даже от чего отталкиваться.
фанат
|
|
|
|
|
Supreme Being
модератор
Last Login: 04.05.2008 13:32
Сообщ.: 7 240,
Visits: 65 445
|
|
| Начать надо с анализа лог-файлов. Ищем запросы к mdb файлам, слишком часто повторяющие запросы, большое кол-во запросов с одного IP и т.п. В общем все что отклоняется от нормального поведения. Если вдруг был использован скрипт подбора пароля это можно будет быстро заметить. Хотя конечно подобрать 13 символьный пароль быстро врядли получится даже с атакой по словарю (то есть если пароль состоял из простых слов). Дальше надо делать аудит своих ASP файлов на предмет безопасности. Тут конкретные советов дать трудно. Надо искать возможные ошибки в механизме аутентификации, нет ли черных ходов в коде и т.п.
|
|
|
|
|
Forum Member
участник
Last Login: 25.12.2007 12:56
Сообщ.: 43,
Visits: 178
|
|
Спасибо.. попробую лог разобрать.
фанат
|
|
| |