返回
详解sql注入攻击的原理及其防御措施

详解sql注入攻击的原理及其防御措施

ID:23449276

大小:52.00 KB

页数:5页

时间:2018-11-07

详解sql注入攻击的原理及其防御措施_第1页
详解sql注入攻击的原理及其防御措施_第2页
详解sql注入攻击的原理及其防御措施_第3页
详解sql注入攻击的原理及其防御措施_第4页
详解sql注入攻击的原理及其防御措施_第5页
资源描述:

《详解sql注入攻击的原理及其防御措施》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、详解SQL注入攻击的原理及其防御措施>>教育资源库  ASP编程门槛很低,新手很容易上路。在一段不长的时间里,新手往往就已经能够编出看来比较完美的动态网站,在功能上,老手能做到的,新手也能够做到。那么新手与老手就没区别了吗?这里面区别可就大了,只不过外行人很难一眼就看出来罢了。在界面的友好性、运行性能以及网站的安全性方面是新手与老手之间区别的三个集中点。而在安全性方面,新手最容易忽略的问题就是SQL注入漏洞的问题。用NBSI2.0对网上的一些ASP网站稍加扫描,就能发现许多ASP网站存在SQL注入漏洞,教育网里高校内部机构的一些网站这种漏洞就更普

2、遍了,可能这是因为这些网站大都是一些学生做的缘故吧,虽然个个都很聪明,可是毕竟没有经验,而且处于学习中,难免漏洞多多了。本文主要讲讲SQL注入的防范措施,而要明白这些防范措施的用处,须先详细讲解利用SQL注入漏洞入侵的过程。新手们看明白啦。  相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。如这是一个正常的localhost/la表名p;ID的查询(ID即客户端提交的参数,本例是即444),再将查询结果返回给客户端,如果这里客户端故意提交这么一个:  localhost/la表名iddot;错误类型

3、:MicrosoftOLEDBProviderforODBCDrivers(0x80040E07)[Microsoft][ODBCSQLServerDriver][SQLServer]将nvarchar值'sonybb'转换为数据类型为int的列时发生语法错误。/lain,他想知道管理员密码,这里他从客户端接着提交这样一个:  localhost/lalogine='admin')>0,返回的出错信息如下:  错误类型:MicrosoftOLEDBProviderforODBCDrivers(0x80040E

4、07)[Microsoft][ODBCSQLServerDriver][SQLServer]将varchar值'!@#*&admin'转换为数据类型为int的列时发生语法错误。/lain的密码!虽然很复杂,让人看几遍也记不住的,但它就这样显示在你面前了,这时您就可以用这个帐号和密码接管人家的网站了!这时你可能还会说,如果他不是事先知道管理员帐号存在表login中,而且知道管理员帐号为admin,那他就不可能获得管理员密码。你错了,只要人家愿意多花时间尝试,他将可以获得数据库连接帐号权限内所能获得的所有信息!具体过程请参看网上的这篇

5、文章:SQL注入漏洞全接触。  当然这个过程是很烦琐的而且要花费很多的时间,如果只能以这种手动方式进行SQL注入入侵的话,那么许多存在SQL注入漏洞的ASP网站会安全很多了,不是漏洞不存在了,而是利用这个漏洞入侵的成本太高了。但是如果利用专门的黑客工具来入侵的话,那情况就大大不同了。手动方式进行SQL注入入侵至少需要半天或一天乃至很多天的时间,而利用专门的工具来入侵就只需要几分钟时间了(视网速快慢决定),再利用获得的管理帐号和密码,上传一个从网上下载的ASP后门程序,就轻易获得整个网站的管理权限了,甚至整个服务器的管理权限。最有名的一种SQL注入

6、入侵工具是NBSI2.0,现在已经出到2.0版本了,不过,人家正式名称不叫SQL注入入侵工具,而叫做网站安全漏洞检测工具。有了这个所谓的检测工具,使得入侵存在SQL注入漏洞的ASP网站成了小儿科的游戏,那些既不懂ASP又不懂SQL、年纪小小的男性青年常常得以在一天之内入侵十多个ASP网站,他们以此获得内心的极大满足。他们似乎也非常讲究职业道德,往往并不破坏网站数据和系统,常见的破坏方式大都仅仅是改换掉网站的主页,留下善意的警告,如:你的网站存在SQL注入漏洞,请管理员做好防范措施!并声明我没有破坏数据和系统,有的还要借机发布一下他的倡导:国内网站

7、大家不要入侵,有本事入侵小日本的!,最后,签上他的鼎鼎大名是必不可少的程序。  如此大的成就多数情况下仅需动动鼠标就做到了。打开最新版的NBSI2.0,如图1所示:输入地址到A区,注意必须是带传递参数的那种,点击右边的检测按钮,即出来B区信息,显示当前用户为sonybb的权限为PUBLIC,当前库为laS12下一页>>>>这篇文章来自..,。_SQL的企业管理器呢?只不过人家不需要帐号和密码就可以查看您数据库里的所有信息了。如果您的网站就这样被人不费吹灰之力入侵了,您是不是要吐几升血了呢?也许您已经为系统安全费尽心思了,装补丁、安防火墙、装杀毒软

8、件、巧妙配置IIS及数据库用户权限,但您就是没有注意到SQL注入漏洞,于是千里之堤,溃于蚁穴。防火墙与杀毒软件对SQL注入是没办法防范的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。