频道栏目
首页 > 安全 > 网站安全 > 正文

彻底解决SQL注射安全问题

2004-12-10 09:09:24           
收藏   我要投稿

整理自:安全焦点论坛

jetken :小弟在此先行礼了`前天维护服务器,发现网站页面被串改了`偶想肯定是WEB上面下的手段,平时的溢出攻击是无效的
而且日志上显示SQL服务器被DDOS过,残!
  有1解决方法就是在每段asp程序中加入防SQL注射补丁。但是偶感觉还是不可靠,希望哪位高手指点迷津?
<---据听说XFOCUS的主机就不怕注射。即使注射了也照样无效。。什么好防火墙了也--->

kakaru;

不敢说彻底,草草说几个建议您参考:
1、之所以SQL injection多数发生在asp+MSSQL上,少数发生在PHP/JSP之类的环境中,原因之一,是否允许SQL多语句一次执行,就是类似:xxxx.asp?id=123;use master;exec xp_cmdshell .....这里面就是好几个语句了,不允许他,好了一大块。
2、过滤,replace函数肯定要下功夫的,其实动网论坛的还可以,别看老出漏洞,它的代码肯定不是一个人写得,有手艺不好的写了一部份东西,过滤之类的太糙,所以别人抓小辫子:)但好的地方仍然值得学习。
3、数据库权限,有人老说MDB的没有SQL那么多功能,反而安全,可是外面流传的能够把access库列名、甚至管理员口令暴力出来的小工具也一堆堆。还不如好好把MSSQL权限搞好点。至少别挂着sa玩~但是这个办法由很难防止drop table或者恶意updateinsert之类的动作,所以还是多方面结合的好。
4、有些IDS或者类似系统对injection的请求比较敏感,可以使用它们和FW联动,B掉一些入侵,我就赶上一次,每一个IP地址只能送一条语句,然后就被ban了,写个FTP脚本要用7、8台肉鸡,至少给人造成麻烦,不适合你有仇的说不定就没心情了(但显然这也不是万能的好办法,配合使用)
5、injection进来,有人喜欢传个nc之类的东西好拿shell,控制好自己机器连接别人的session也很重要,很多人就知道不叫别人连自己,结果人家用tftp或者写ftp脚本叫你的机器去别人那里down东西,然后主动把shell送出来,一样SB,而且,别一说TFTP/FTP就封69/21,写个脚本还能从别人80直接get下东西来,你总不能把80封了吧,设置好访问的方向,没必要的一律封杀,SQL server能用内网地址的,就用内网,不设公网地址,也不能通过FW NAT出来(是用于SQL/web分开的)这样真正执行injection进去的语句的是那个内网的SQL server,他又不能与internet连接,又制造一大堆麻烦............

仅供参考

 

 

相关TAG标签 问题
上一篇:SQL注入的新技巧
下一篇:温习sql injection
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站