配置抵御ＳＱＬ注入试攻击的服务器.docVIP

配置抵御ＳＱＬ注入试攻击的服务器 　　摘要：任何的服务器被入侵，很大程度上都由于网管经验不足或配置不当导致的，这里我们针对SQL注入的方式来配置服务器，最大限度的提高服务器的安全系数。 　　关键词：SQL注入；服务器；安全 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)36-2885-02 　　Dispose the Server Which Can Resist the Pouring Attack from SQL 　　ZENG Fang 　　(Jiujiang Institute Informational Science and Technical Institute,Jiangxi 332005,China) 　　Abstract: Sever invasion is due to the lack of experience and technology from the the webmaster.Here we focusing on defending SQL injection to enhance sever security. 　　Key words: SQL injection;server;security 　　来自微软全球技术支持中心安全支持团队的一份报告，从2008年1月起到2008年5月中，已经有3次大规模的SQL注入攻击，都是大于10,001,000页/天的SQL注入式攻击，其问题不仅仅在于程序员在编写代码的时候，没有对用户输入数据进行合理判断，还有与服务器的配置不当也有很大的关系，这里针对windows2000+sql2000服务器进行分析，配置一个安全稳定的服务器。 　　1 SQL注入攻击的实现 　　SQL注入攻击是通过程序员编写程序的不严谨和服务器的配置不当，故意提交特殊的代码来收集程序及服务器的信息来寻找注入点并判断后台数据库类型，然后根据XP_CMDSHELL等可执行情况，来发现虚拟目录并上传木马来获取服务器管理员的权限。 　　2 通过配置服务器及SQL来防范SQL注入 　　2.1 对服务器的程序进行检查 　　要想阻止SQL注入，应用程序的代码必须编写正确。应用程序必须禁止用户直接访问到SOL Server。避免直接访问可以极为简单地通过参数化查询来完成。参数化查询使得SQL命令和命令所需要执行的数据独立起来。把单引号等SQL关键字过滤掉，可以自建函数过滤，也可以使用具有过滤功能的控件。发现客户端提交的参数中有exec、insert、select、delete、from、update、count、user、xp_cmdshell、add、net、Asc等用于SQL注入的常用字符时，立即停止执行ASP并给出警告信息或转向出错页面。 　　2.2 权限的安全合理配置 　　用于程序连接数据库的用户应拒绝使用服务器角色组成员，应使用数据库用户角色组的成员，最好的方法是只给予db_reader，db_writer权限，遇到有需要备份的用户请另行新建用户――注意：只要有备份权限就可以通过BACKUP得到WEBSHELL！使用db_redaer，db_wirter不能直接用SQL指令建表，但是对于网站的安全也起到了至关重要的作用，入侵者无法使用create talbe，想进一步获取服务器信息，无处保存。 　　2.3 删除所有对数据库可有可无的存储过程、对注册表操作的扩展进程 　　利用SQL Sever中的存储过程，入侵者可以很容易地构造相应的SQL语句，进行修改数据库、系统用户名、系统注册表等各种危害性极大的操作，因此有必要删除掉无用的存储过程。例如： 　　Xp_regaddmultistring 　　Xp_regdeletekey 　　Xp_regdeletevalue 　　Xp_regenumvalues (通过它可获得所以网页目录) 　　Xp_regread （对Public可以执行） (通过它可获得默认网页根目录，“\”) 　　Xp_regremovemultistring 　　Xp_regwrite 等。 　　2.4 对连接数据库服务器进行IP限制 　　拒绝对除开本地以外的IP地址的连接。并修改SQL默认的数据库端口的连接。 　　2.5 服务器IIS设置 　　管理员一定要定期的检查ISS日志，可以检查IIS日志来查找尝试利用该漏洞的非正常请求。 　　SQL入侵是根据IIS给出的错误提示来入侵的，所以我们要把一切ASP错误，服务器返回的信息设置为http500错误。方法如下：打开“Internet信息服务程序”-右键点击左边的“默认网站”-选择“属性”-选择“自定义错误子窗口”-选择“错误映射”中