[系统安全培训-Web安全性.pptVIP

系统安全——Web安全性 2010年9月 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 2009中国计算机网络安全应急年会资料 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 安全性问题之一SQL注入 什么是 SQL Injection: (SQL注入) 就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。 简而言之，是在输入的数据字符串中夹带SQL指令，在设计不良的程序中忽略了检查，那么在这些夹带的指令就会被数据库服务器误认为是正常的SQL指令而运行，因此招致到破坏 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 安全性问题之一SQL注入 SQL Injection: (SQL注入) SQL注入是最常见的攻击方式，它的主要原理是：攻击者通过改变WEB页的参数，直接将SQL片断提交到服务器，并在服务器端执行的过程。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 安全性问题之一SQL注入 SQL注入的原因 1、在应用程序中使用字符串联结方式组合SQL指令 2、在应用程序链接数据库时使用权限过大的帐号（例如使用SA） 3、在数据库中开放了不必要但权力过大的功能（如，在SQLServer中的的xp_cmdshell延伸预存程序或是OLE Automation预存程序等） 4、太过于信任用户所输入的数据，未限制输入的字符数 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 安全性问题之一SQL注入 SQL注入的危害 修改数据库内容 删除其它表 窃取数据到本地 执行系统命令，进而修改或控制操作系统、破坏硬盘数据等 特点 攻击耗时少、危害大 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 安全性问题之一SQL注入 问题代码（ASP+MS SQL Server） if Request.QueryString(id) is NoThing then id=1 else