基于web服务器SQL的入侵与防护本科毕业论文答辩pptPPT.pptVIP

基于web服务器SQL的入侵与防护;CONTENTS;web服务器SQL注入;搜寻网站SQL注入点 尝试几个有传入参数的页面，逐个测试是否有SQL注入漏洞，识别方法为：把网址栏的ID=***加个号“’”，如果提示表达式错误，表示有漏洞可注入，另外，通过这个方式可以得到程序所用的数据库类型。 点击北京链接会发现地址栏中出现了变量，直接在后面加入“’”返回错误，初步判断有注入漏洞。 ;;综合上述分析我们得到用户名username：huang 同理我们得到密码 password；fu 用所得到的用户名和密码登陆 ;登陆结果截图如下;web服务器SQL漏洞防护;基础过滤与二次过滤：主要就是使用代码可以过滤ID参数中的“；”，“，”和“insert”字符，如果在ID参数中包含有这几个字符，则会返回错误页面 使用SQL通用防注入程序进行过滤：通过手工的方法对特殊字符进行过滤难免会留下过滤不严的漏洞。而使用???SQL通用防注入程序”可以全面地对程序进行过滤，从而很好的阻止SQL脚本注入漏洞的产生。从网上下载“SQL通用防注入程序V3.0”存放在自己网站所在的文件夹中，需要进行简单设置就可以轻松帮助程序员防御SQL注入 ;设置错误提示信息：SQL注入主要依据是IIS给出的ASP错误信息，所以配置IIS和数据库用户权限，可以阻止SQL注入攻击。 使用专业的漏洞