SQLINJECTION的SQLSERVER设置
来源:互联网 发布:福建弘扬妇幼软件 编辑:程序博客网 时间:2024/06/05 20:30
<script type="text/javascript"><!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--></script><script type="text/javascript"src="http://pagead2.googlesyndication.com/pagead/show_ads.js"></script>
日前SQLINJECTION的攻击测试愈演愈烈,很多大型的和论坛都相继被注入。这些网站一般使用的多为SQLSERVER,正因为如此,很多人开始怀疑SQLSERVER的安全性。其实SQLSERVER2000已经通过了美国政府的C2级安全-这是该行业所能拥有的最高认证级别,所以使用SQLSERVER还是相当的安全的。当然和ORCALE、等还是有差距,但是SQL
SERVER的易用性和广泛性还是能成为我们继续使用下去的理由。那怎么样才能使SQLSERVER的设置让人使用的放心呢?
1.1. 第一步
打上SQLSERVER最新的安全补丁,现在补丁已经出到了SP3。下载地址:http://www.microsoft.com/sql/downloads/2000/sp3.asp。如果这一步都没有做好,那我们也没有继续下去的必要了。
1.2. 第二步
修改默认的1433端口,并且将SQLSERVER隐藏。这样能禁止对试图枚举网络上现有的客户端所发出的广播做出响应。另外,还需要在TCP/IP筛选中将1433端口屏蔽掉,尽可能的隐藏你的SQLSERVER数据库。这样既便让攻击创建了SQLSERVER的账号,也不能马上使用查询分析器远程登陆来进行下一步的攻击。单从,等页面构造恶意语句的话,还有需要查看返回值的问题,总比不上直接查询分析器来得利落。所以我们首先要做到即使让别人注入了,也不能让攻击者下一步做得顺当。修改方法:
企业管理器-->你的数据库组-->属性-->常规-->网络配置-->TCP/IP-->属性,在这儿将你的默认端口进行修改,和SQLSERVER的隐藏。
1.3. 第三步
SQLINJECTION往往在WEBCODE中产生,而作为系统管理员或者数据库管理员,总不能常常的去看每一段代码。即使常常看代码,也不能保证我们在上面的疏忽。那怎么办?我们就要从数据库角色着手,让数据库用户的权限划分到最低点。SQLSERVER的默认权限让人真的很头疼,权限大得非常的高,权限小的又什么都做不了,SYSADMIN和DB_OWNER真是让人又爱又恨。攻击者一但确认了网站存在SQLINJECTION漏洞,肯定有一步操作步骤就是测试网站的SQLSERVER使用者具有多大的权限。一般都会借助
SELECTIS_SRVROLEMEMBER('sysadmin')
或者
SELECTIS_MEMBER('db_owner')
再或者
user=0
(让字符和数字进行比较,SQLSERVER就会提示了错误信息,从该信息中即可知道一些敏感信息)等语句进行测试。当然还有其他的方法。在当前,如果网站的数据库使用者用的是SA权限,再加上确认了WEB所处在的绝对路径,那么就宣告了你的网站的OVER。DB_OWNER权限也一样,如果确认了绝对路径,那么有50%的机会能给你的机器中上WEB方式的木马,如海阳等。所以这儿我们确认了一点,我们必须要创建自已的权限,让攻击者找不着下手的地方。在这儿引用一个SQLSERVER联机帮助中的例子:
创建SQLSERVER数据库角色的方法(企业管理器)
创建SQLSERVER数据库角色
1.展开服务器组,然后展开服务器。
2.展开"数据库"文件夹,然后展开要在其中创建角色的数据库。
3.右击"角色",然后单击"新建数据库角色"命令。
4.在"名称"框中输入新角色的名称。
5.单击"添加"将成员添加到"标准角色"列表中,然后单击要添加的一个或多个用户。(可选)
只有选定数据库中的用户才能被添加到角色中。
对象权限
处理数据或执行过程时需要称为对象权限的权限类别:
•SELECT、INSERT、UPDATE和DELETE语句权限,它们可以应用到整个表或视图中。
•SELECT和UPDATE语句权限,它们可以有选择性地应用到表或视图中的单个列上。
•SELECT权限,它们可以应用到用户定义函数。
•INSERT和DELETE语句权限,它们会影响整行,因此只可以应用到表或视图中,而不能应用到单个列上。上一页
<script type="text/javascript"><!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--></script><script type="text/javascript"src="http://pagead2.googlesyndication.com/pagead/show_ads.js"></script>
<script type="text/javascript"><!--google_ad_client = "pub-2947489232296736";/* 160x600, 创建于 08-4-23MSDN */google_ad_slot = "4367022601";google_ad_width = 160;google_ad_height = 600;//--></script><script type="text/javascript"src="http://pagead2.googlesyndication.com/pagead/show_ads.js"></script>
日前SQLINJECTION的攻击测试愈演愈烈,很多大型的和论坛都相继被注入。这些网站一般使用的多为SQLSERVER,正因为如此,很多人开始怀疑SQLSERVER的安全性。其实SQLSERVER2000已经通过了美国政府的C2级安全-这是该行业所能拥有的最高认证级别,所以使用SQLSERVER还是相当的安全的。当然和ORCALE、等还是有差距,但是SQL
SERVER的易用性和广泛性还是能成为我们继续使用下去的理由。那怎么样才能使SQLSERVER的设置让人使用的放心呢?
1.1. 第一步
打上SQLSERVER最新的安全补丁,现在补丁已经出到了SP3。下载地址:http://www.microsoft.com/sql/downloads/2000/sp3.asp。如果这一步都没有做好,那我们也没有继续下去的必要了。
1.2. 第二步
修改默认的1433端口,并且将SQLSERVER隐藏。这样能禁止对试图枚举网络上现有的客户端所发出的广播做出响应。另外,还需要在TCP/IP筛选中将1433端口屏蔽掉,尽可能的隐藏你的SQLSERVER数据库。这样既便让攻击创建了SQLSERVER的账号,也不能马上使用查询分析器远程登陆来进行下一步的攻击。单从,等页面构造恶意语句的话,还有需要查看返回值的问题,总比不上直接查询分析器来得利落。所以我们首先要做到即使让别人注入了,也不能让攻击者下一步做得顺当。修改方法:
企业管理器-->你的数据库组-->属性-->常规-->网络配置-->TCP/IP-->属性,在这儿将你的默认端口进行修改,和SQLSERVER的隐藏。
1.3. 第三步
SQLINJECTION往往在WEBCODE中产生,而作为系统管理员或者数据库管理员,总不能常常的去看每一段代码。即使常常看代码,也不能保证我们在上面的疏忽。那怎么办?我们就要从数据库角色着手,让数据库用户的权限划分到最低点。SQLSERVER的默认权限让人真的很头疼,权限大得非常的高,权限小的又什么都做不了,SYSADMIN和DB_OWNER真是让人又爱又恨。攻击者一但确认了网站存在SQLINJECTION漏洞,肯定有一步操作步骤就是测试网站的SQLSERVER使用者具有多大的权限。一般都会借助
SELECTIS_SRVROLEMEMBER('sysadmin')
或者
SELECTIS_MEMBER('db_owner')
再或者
user=0
(让字符和数字进行比较,SQLSERVER就会提示了错误信息,从该信息中即可知道一些敏感信息)等语句进行测试。当然还有其他的方法。在当前,如果网站的数据库使用者用的是SA权限,再加上确认了WEB所处在的绝对路径,那么就宣告了你的网站的OVER。DB_OWNER权限也一样,如果确认了绝对路径,那么有50%的机会能给你的机器中上WEB方式的木马,如海阳等。所以这儿我们确认了一点,我们必须要创建自已的权限,让攻击者找不着下手的地方。在这儿引用一个SQLSERVER联机帮助中的例子:
创建SQLSERVER数据库角色的方法(企业管理器)
创建SQLSERVER数据库角色
1.展开服务器组,然后展开服务器。
2.展开"数据库"文件夹,然后展开要在其中创建角色的数据库。
3.右击"角色",然后单击"新建数据库角色"命令。
4.在"名称"框中输入新角色的名称。
5.单击"添加"将成员添加到"标准角色"列表中,然后单击要添加的一个或多个用户。(可选)
只有选定数据库中的用户才能被添加到角色中。
对象权限
处理数据或执行过程时需要称为对象权限的权限类别:
•SELECT、INSERT、UPDATE和DELETE语句权限,它们可以应用到整个表或视图中。
•SELECT和UPDATE语句权限,它们可以有选择性地应用到表或视图中的单个列上。
•SELECT权限,它们可以应用到用户定义函数。
•INSERT和DELETE语句权限,它们会影响整行,因此只可以应用到表或视图中,而不能应用到单个列上。上一页
<script type="text/javascript"><!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--></script><script type="text/javascript"src="http://pagead2.googlesyndication.com/pagead/show_ads.js"></script>
<script type="text/javascript"><!--google_ad_client = "pub-2947489232296736";/* 160x600, 创建于 08-4-23MSDN */google_ad_slot = "4367022601";google_ad_width = 160;google_ad_height = 600;//--></script><script type="text/javascript"src="http://pagead2.googlesyndication.com/pagead/show_ads.js"></script>
- SQLINJECTION的SQLSERVER设置
- 针对SQLINJECTION的SQLSERVER设置初级篇
- sqlInjection
- 有孔就入SQLInjection的深入探讨
- sqlserver MSDTC的设置要点
- SQLSERVER使用前的设置
- SQLSERVER设置
- SqlServer设置
- SQLSERVER SQLServer 设置“打开表”的行数方法
- SQLSERVER定时作业的设置方法
- sqlserver 2008远程调试的设置
- SQLServer:定时作业的设置方法
- SQLServer:定时作业的设置方法
- SQLSERVER复制与订阅的设置步骤
- VC链接SQLServer数据库之前的设置
- 服务器sqlserver数据库远程连接的设置
- 通过注册表设置SQLServer的远程连接
- SQLServer:定时作业的设置方法
- 一次诊断和解决CPU利用率高的问题分析
- DBA手记-optimizer_mode影响一个SQL语句是否可以执行
- 日常用的sql列表(摘抄)
- 在中使用SQLDMO
- Zend Studio3.0试用手记
- SQLINJECTION的SQLSERVER设置
- 谁是这场游戏的策划者和受益者?
- 补丁版本的检查和安装过程中常见问题
- java中treeset 重写排序 怎么看不明白???
- Office 2007 删除页眉横线方法
- 基础
- :创建索引视图
- Flickr Stats 功能的设计经验
- SQLSERVER海量的查询优化及分页算法
