亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于滲透測試的SQL注入的防范

        2016-06-03 09:11:02趙燦秦水介
        中國新通信 2016年8期

        趙燦 秦水介

        【摘要】 隨著Internet的進一步普及和計算機網(wǎng)絡技術的快速發(fā)展,基于Web技術和數(shù)據(jù)庫架構的應用系統(tǒng)已經(jīng)逐漸成為主流,但是Web應用系統(tǒng)在網(wǎng)絡中面臨的安全風險與日劇增。Web安全滲透測試技術是一種針對Web應用的積極防范技術。在眾多針對Web應用攻擊手段中,SQL注入攻擊是最常用的也是最易于實施的方法。本文有針對性地研究了SQL注入漏洞的相關防范技術,并對防范的細節(jié)加以敘述。

        【關鍵詞】 SQL注入 滲透測試 防范

        隨著web技術的發(fā)展,以及腳本語言的簡單易用,很多公司都進行網(wǎng)頁開發(fā)設計。但是許多網(wǎng)頁程序員在編寫代碼的時候,沒有對用戶輸入數(shù)據(jù)的合法性進行嚴格的判斷和過濾,從而使網(wǎng)頁應用程序存在安全隱患和漏洞。SQL 注入攻擊時針對腳本系統(tǒng)的攻擊中最常見的一種攻擊方式,也是危害最大的一種攻擊手段。

        一、SQL注入的影響

        當攻擊者們發(fā)現(xiàn)SQL注入漏洞后,下一步就是利用這個漏洞拿到服務器的webshell。一旦服務的被攻陷,服務器上的敏感數(shù)據(jù)以及公司乃至國家的利益都將受到不可估測的損失?;谝恍┎话踩牟渴?,有可能直接會爆出網(wǎng)站管理員的賬號和密碼,直接就能對服務器的數(shù)據(jù)進行刪除,添加以及拷貝等操作。

        表名猜解:and exists (select * from admin)

        列名猜解:and exists (select pwd/password from admin)

        猜解庫中表的個數(shù): order by 任意數(shù)

        爆用戶名和密碼: http://www.host.com/test.asp?id=100 and 1=2 union select 1,2,3,4,5,6…from admin

        步步結束的過程,就是利用sql注入漏洞攻陷服務器的過程。

        二、SQL注入攻擊防范

        2.1編程防范

        2.1.1對用戶輸入的數(shù)據(jù)進行過濾

        對用戶輸入的數(shù)據(jù)進行過濾是防止SQL注入攻擊的關鍵所在,常見的過濾方式基礎過濾,二次過濾以及SQL通用防注入程序等多種方式。在SQL注入入侵前,需要在可修改參數(shù)中提交“ ‘”,“and”等字符來判斷是否存在SQL注入漏洞,在進行SQL注入攻擊時,要提交包含“--”,“update”,“select”等特殊字符的SQL注入語句。例如圖1所示。

        基于一些不安全的部署,有可能直接會爆出網(wǎng)站管理員的賬號和密碼,直接就能對服務器的數(shù)據(jù)進行刪除,添加以及拷貝等操作。

        2.1.2設置錯誤提示信息

        SQL注入主要依據(jù)是IIS給出的ASP錯誤信息,所以配置IIS和數(shù)據(jù)庫用戶權限,可以防止SQL注入攻擊。

        2.2 數(shù)據(jù)庫防范

        數(shù)據(jù)庫文件是網(wǎng)站運行過程中的核心文件,對數(shù)據(jù)庫安全防范措施中,最為直接和簡單的辦法就是對本機數(shù)據(jù)庫文件的安全防范。修改數(shù)據(jù)庫的下載地址,在數(shù)據(jù)庫屬性欄里,選擇重定向到URL。修改數(shù)據(jù)庫文件名。但是只是簡單的對網(wǎng)站數(shù)據(jù)庫文件的后綴進行更改,是不能保證不被拖庫的,還需另外一種方法,即在數(shù)據(jù)庫文件名中添加#符號,如#123.asp。通過添加#號就可以一定程度上防止數(shù)據(jù)庫被下載。修改數(shù)據(jù)庫離默認的sa用戶空口令,嚴格控制數(shù)據(jù)庫用戶的權限,不輕易讓用戶對表有直接查詢,更改,插入和刪除的權限。修改不必要的擴展存儲過程。

        三、防范遇到的問題

        此時我們按照上面的做法的確能夠防范到一部分的攻擊,但是并不是所有的編程人員都能意識到安全問題,并不是所有的輸入都能被檢測截斷,例如我們在waf上布置策略,過濾關鍵字,但是攻擊者依然能夠用空格,分號,大小寫等繞過關鍵字的檢測,來繞過安全設備進入內(nèi)網(wǎng)。

        四、結束語

        網(wǎng)絡攻擊利用這些存在的漏洞和安全缺陷對系統(tǒng)和資源進行攻擊。如何更好的預防SQL注入,廣大的安全工作者們?nèi)沃囟肋h。在這場攻擊與防御的拉鋸戰(zhàn)中,越來越多的攻擊者與安全人員加入進來。在現(xiàn)在這個網(wǎng)絡即世界的大環(huán)境下,網(wǎng)絡戰(zhàn)爭也是一觸即發(fā)。 如何做到保護小家到大家的安全,都要我們不懈努力。

        參 考 文 獻

        [1] 陳小兵,張漢煜,駱力明,黃河.SQL 注入攻擊及其防范檢測技術研究[J].計算機工程與應用,2007,43(11):150-152.

        [2]SQL注入與防御:第二版/(美)克拉克(Clarke,J.)著

        [3]https://technet.microsoft.com/en-us/library/cc512676.aspx

        [4]徐陋,姚國祥.SQL 注入攻擊全面預防辦法及其應用[J].微計算機信息, 2006,22(3):10-12.

        [5]劉帥.SQL 注入攻擊及其防范檢測技術的研究[J].電腦知識與技術,2009,5(28):7870-7872

        91精品啪在线观看国产18| 日本少妇春药特殊按摩3| 久久精品国产亚洲av四虎| 久草视频国产| 亚洲国产精品亚洲高清| 91精品国自产拍老熟女露脸| 狠狠的干性视频| 国内精品久久久久久久影视麻豆| AV熟妇导航网| 久草中文在线这里只有精品| 又黄又爽又无遮挡免费的网站| 日日av拍夜夜添久久免费 | 亚洲性啪啪无码AV天堂| 91成人自拍视频网站| 91精品国产综合久久熟女| 伊人激情av一区二区三区| a在线免费| 中文字幕一区二区三区四区久久| 女同同性av观看免费| 少妇性荡欲视频| 久久福利青草精品资源| 一区二区三区国产天堂| av无码小缝喷白浆在线观看| 越南女子杂交内射bbwbbw| 99久久久国产精品丝袜| 精品少妇人妻av一区二区蜜桃| 成人乱码一区二区三区av| 大地资源网更新免费播放视频| 中文字幕一区二区三区97| 一区二区三区激情免费视频| 女人被狂c躁到高潮视频| 免费看奶头视频的网站| 搞黄色很刺激的网站二区| 精品亚洲国产成人蜜臀av| 天美传媒精品1区2区3区| 伊在人亚洲香蕉精品区麻豆| 阴唇两边有点白是怎么回事| 久久视频在线| 久久亚洲高清观看| 国产在线观看黄片视频免费| 强开少妇嫩苞又嫩又紧九色|