无聊中,看到了别人写的“数据库防下载新招之“#%”这篇文章,感觉非常不错,于是就将数据库的名称也改为了“#%”开头的。后来,我又在本地架设了一个小型服务器并从网上寻找了一套源码进行测试,服务器架设完成后,此时数据库的默认地址为“http://127.
0.0.1/db/com02.mdb”,是可以直接下载的。
当我使用文章中的方法将数据库名称改为“#%”开头后(数据库的名字被修改成了#%com02.mdb),完整的地址就是“hltp://127.0.0.1/db/#%com02.mdb”,使用IE浏览器直接下载是不行的,大家都知道,如果只是添加“#”,那么把“#”用“%23”替换就可以突破限制下载了,那么多出来的“%”怎么解决呢?
其实突破限制实现数据库下载的方法非常简单,只需要使用两款浏览器就能轻易的做到了,它们就是大家常用的360和遨游,我就是利用它们本身自带的下载工具轻松下载到数据库的。
我的电脑中就只安装了这三款浏览器,至于其它的浏览器我没有进行测试过。还有就是利用迅雷也同样可以下载到,不管数据库名称前添加了“#%”和“%”开头,都是一律通吃。
可以说,“新”招防数据库下载就这样被我们利用工具简单的给突破了,通过本文我想告诉大家一个道理:对于任何一件事都要勇敢的去怀疑,并且要学会举一反三,只有这样我们才能发现问题,才能提高自己!
本文为网络安全技术研究记录,文中技术研究环境为本地搭建或经过目标主体授权测试研究,内容已去除关键敏感信息和代码,以防止被恶意利用。文章内提及的漏洞均已修复,在挖掘、提交相关漏洞的过程中,应严格遵守相关法律法规。