百度、Google等大型網(wǎng)站都是大家經(jīng)常使用的網(wǎng)站，這些網(wǎng)站提供的搜索引擎服務備受廣大用戶的青睞。黑客可以利用搜索引擎來下載一個網(wǎng)站的數(shù)據(jù)庫，從而得到網(wǎng)站的管理賬號和密碼，并可以控制到整個網(wǎng)站的管理權(quán)。
在Google中可以搜索出網(wǎng)站的數(shù)據(jù)庫的相對路徑，結(jié)合網(wǎng)站的地址找到其數(shù)據(jù)庫并進行下載，最后打開數(shù)據(jù)庫，得到管理員賬號和密碼后即可進行一系列操作。
具體的操作步驟如下：
步驟01、在Google搜索引擎的“搜索”文本框中輸入“美容server.mapPath(".mdb")”，這里的關(guān)鍵詞可以是任意字符，如汽車、美容、政府等。
步驟02 單擊“Google搜索”按鈕，即可進行搜索，不難看出在搜索的結(jié)果中也會存在一些水分，而且范圍非常大。有的網(wǎng)頁包含一些ASP源代碼，需要用戶具有一定得鑒別能力。在眾多找到結(jié)果中黑客會得到很多帶有數(shù)據(jù)庫路徑信息。
步驟03 在搜索結(jié)果列表中如出現(xiàn)類似包含數(shù)據(jù)庫路徑的信息，則說明可以得到該網(wǎng)站數(shù)據(jù)庫的相對地址。包含數(shù)據(jù)庫路徑的代碼為：open "Driver={Microsoft Access Driver (*.mdb)};Dbq="+server.MapPath(".../data/new.mdb") 'set recordset1=server.createobject（"ADODB.recors"）
步驟04 從搜索結(jié)果列表中顯示搜索到該站點符合條件的信息標題，即可打開相關(guān)的網(wǎng)頁，由該標題鏈接可知該網(wǎng)頁的鏈接地址為“http://www.******.com/html”，但在該網(wǎng)頁中并沒有包含“server.mappath”的數(shù)據(jù)庫信息。
步驟05 結(jié)合出現(xiàn)的數(shù)據(jù)庫相對路徑“.Dbq="+server.MapPath(".../data/new.mdb")”可知，該網(wǎng)站數(shù)據(jù)庫的完整路徑為http://www.******.com/ data/news.mdb，在IE瀏覽器的地址欄中輸入該地址，即可打開“文件下載”對話框。
步驟06 單擊“保存”按鈕，即可將數(shù)據(jù)庫下載到本地計算機中。下載后使用Access 2010打開該數(shù)據(jù)庫文件，在其中可看到一個名為“admin”的表，在該表中就包含了一個管理員用戶名及密碼。很明顯，下載的是一個網(wǎng)站的數(shù)據(jù)庫，一旦黑客得到用戶名和密碼，就會對該網(wǎng)站進行一系列的破壞活動。