SQL注入攻击防御指南.pdfVIP

  1. 1、本文档共35页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
SQL 注入攻击防御指南 SQL 注入攻击防御指南 近年来,SQL 注入式攻击一直如幽灵般困扰着众多企业,成为令企业毛骨悚然的梦 魇。从去年八月中旬以来,新一轮的大规模SQL 注入式攻击袭掠了大量的网站,连苹果公 司的网站也未能幸免。这种猖獗的攻击向业界招示其日渐流行的趋势,黑客们也越来越喜 欢这种可以渗透进入企业的基础架构和数据库资源的攻击方式。 SQL 注入是一类当你把用户输入用来构造SQL 查询或是修改、管理数据库的命令时所 产生的漏洞。如果在把用户输入追加到变化的SQL 语句之前不先进行过滤处理,那么攻击 者就可以修改查询语句,并产生开发者不愿意看到的结果。被修改的SQL 语句可以执行当 前数据库帐户权限所允许的任何操作,既可以操作数据库,还可以攻击数据库所在的系统 和网络。 本文将从三个方面为您提供详细的安全策略,包括:SQL 注入攻击的现状及展望,防 御SQL 注入攻击的最佳实践和MYSQL 注入实例讲解。 SQL 注入攻击的现状及展望 SANS 协会在本周发布的《The Top Cyber Security Risks》报告中称,SQL 注入和跨 站点脚本攻击是网上的两个最大的问题。这些错误也往往是最容易被公司忽视的。而美国 史上最大的数据安全攻击的黑客们使用的就是SQL 注入方法。这一切让网络管理人员意识 到SQL 注入威胁的严重程度并且开始重新审视他们对这一攻击的防范措施。 为什么这种攻击如此猖獗?网络管理员们未来将面临什么样的挑战呢? 专家质疑程序员使用SQL 注入功能 防止SQL 注入攻击:网络管理员的前景展望 TT 安全技术专题之 “SQL 注入攻击防御指南” 第2 页共35 页 防御SQL 注入攻击的最佳实践 针对Web 应用的攻击——SQL 注入为人所熟知,安全专家对被越来越多的黑客所利用 的这一方式长期以来都非常警惕。SQL 注入是一种人为向Web 表单的输入框中加入恶意的 结构化查询语言(SQL)代码以试图获取资源的访问权限或是改变数据的安全攻击。它需 要的唯一条件是网络端口80 处于开放状态。即使有设置妥当的防火墙,这一端口也是少 数的几个允许流量的通道之一。 如何发现并防御自动SQL 注入攻击 研究员开发新的技术来防御SQL 注入攻击 如何斩断SQL 注入式攻击的疯狂魔掌? Fuzzing tool 帮助Oracle DBA 删除SQL 注入错误 Web 安全性测试——SQL 注入 MYSQL 注入实例讲解 MYSQL 注入中导出文件需满足的条件大家都知道,就不多说了,要导出可执行二进制文 件还需注入点必须存在二进制编码格式数据类型的字段(如BLOB 或LONGBLOB 数据类型)。要 导出可执行bat 文件对字段的数据类型没有要求。其他一些附加限制条件依环境而定。 下面的文章实例讲解MYSQL 注入中导出可执行文件至启动项原理,证实了在MYSQL 注入中 理论上导出可执行二进制文件到启动项的说法。 实例讲解MYSQL 注入中导出可执行文件至启动项原理(一) 实例讲解MYSQL 注入中导出可执行文件至启动项原理(二) 实例讲解MYSQL 注入中导出可执行文件至启动项原理(三) TT 安全技术专题之 “SQL 注入攻击防御指南” 第3 页共35 页 专家质疑程序员使用SQL 注入功能 那些没有安全常识的程序员把SQL 注入代码作为一个功能写在一些web 应用程序里,当 这些应用程序开始使用或分发给在线广告网络的分支的时候就会使用户处在安全风险中。 这种编码方式是应用程序运行的关键。这个问题很普遍,以至于一些安全厂家,包括 TippingPoint,他们的入侵防御系统(IPS)出厂时默认关闭了SQL 注入保护过滤功能,以避免 导致应用程序不能使用。 TippingPoint 的DVlabs 安全研究主任Rohit Dhamankar 表示公司在全球的IPS 蜜罐 系统都发现利用一些Web 应用的SQL 注入功能来进行的SQL 注入攻击出现猛增。 TippingPoi

文档评论(0)

max + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档