亚洲综合社区欧美综合色-欧美逼逼一区二区三区-国产老熟女高潮精品网站-国产日韩最新视频在线看

始創(chuàng)于2000年 股票代碼:831685
咨詢熱線:0371-60135900 注冊有禮 登錄
  • 掛牌上市企業(yè)
  • 60秒人工響應(yīng)
  • 99.99%連通率
  • 7*24h人工
  • 故障100倍補(bǔ)償
全部產(chǎn)品
您的位置: 網(wǎng)站首頁 > 幫助中心>文章內(nèi)容

如何防御SQL注入攻擊 網(wǎng)站安全狗來幫忙

發(fā)布時(shí)間:  2012/8/7 18:32:35

如何防御SQL注入攻擊 網(wǎng)站安全狗來幫忙

字號: 2012-08-07 17:38 來源:中國IDC圈 我要評論(0)

近年來,重大網(wǎng)絡(luò)安全事故頻發(fā),網(wǎng)絡(luò)安全形勢日趨嚴(yán)峻,網(wǎng)絡(luò)攻擊方式呈現(xiàn)多樣化、復(fù)雜化,諸如DDOS攻擊、網(wǎng)站掛馬、跨站點(diǎn)腳本攻擊、SQL注入式攻擊等,其中SQL注入攻擊最為常見,也最具危害。雖然這種攻擊形式已出現(xiàn)十年之久,但仍是網(wǎng)站安全運(yùn)營最大的安全威脅,有調(diào)查顯示,防御SQL注入攻擊仍然是中小企業(yè)和擁有web應(yīng)用程序的企業(yè)最重要的工作。

關(guān)于SQL注入攻擊

SQL注入攻擊是黑客攻擊數(shù)據(jù)庫最常見手段之一。簡單講,SQL注入攻擊是黑客利用網(wǎng)站程序漏洞,通過提交精心構(gòu)造的SQL語句,以達(dá)到竊取數(shù)據(jù)庫信息,或者修改破壞數(shù)據(jù)庫目的的攻擊行為。SQL注入攻擊方式非常隱蔽,不容易被察覺,攻擊成功所導(dǎo)致的后果嚴(yán)重,所以對網(wǎng)絡(luò)安全危害巨大。

所謂“知己知彼,方能百戰(zhàn)不殆”對于如何應(yīng)對SQL攻擊,我們首先了解下SQL有哪些種類:

1.沒有正確過濾轉(zhuǎn)義字符:在用戶的輸入沒有為轉(zhuǎn)義字符過濾時(shí),就會(huì)發(fā)生這種形式的注入式攻擊,它會(huì)被傳遞給一個(gè)SQL語句。

2.Incorrect type handling:如果一個(gè)用戶提供的字段并非一個(gè)強(qiáng)類型,或者沒有實(shí)施類型強(qiáng)制,就會(huì)發(fā)生這種形式的攻擊。比如:使用的是某數(shù)字字段,但程序員沒有檢查用戶輸入的合法性(是否為數(shù)字型)就會(huì)發(fā)生這種攻擊。

3.盲目SQL注入式攻擊:當(dāng)一個(gè)Web應(yīng)用程序易于遭受攻擊而其結(jié)果對攻擊者卻不見時(shí),就會(huì)發(fā)生所謂的盲目SQL注入式攻擊。

除上面所示的種類外,SQL注入攻擊還有數(shù)據(jù)庫服務(wù)器中的漏洞、時(shí)間延誤、條件響應(yīng)、條件性差錯(cuò)等內(nèi)容。

SQL注入通過網(wǎng)頁對網(wǎng)站數(shù)據(jù)庫進(jìn)行修改,能直接在數(shù)據(jù)庫中添加具有管理員權(quán)限的用戶,從而最終獲得系統(tǒng)管理員權(quán)限。黑客可以利用獲得的管理員權(quán)限任意獲得網(wǎng)站上的文件或者在網(wǎng)頁上加掛木馬和各種惡意程序,對網(wǎng)站和訪問該網(wǎng)站的網(wǎng)友都帶來巨大危害。

如何防御SQL注入攻擊 網(wǎng)站安全狗來幫忙

SQL注入式攻擊一直如幽靈般困擾著眾多網(wǎng)站管理員,成為他們揮之不去的夢魘。如何有效應(yīng)對SQL注入攻擊,減少因?yàn)镾QL注入攻擊導(dǎo)致的損失,成為網(wǎng)站管理員最迫切關(guān)心的問題。在此,小編介紹一款非常實(shí)用,有效的SQL注入防護(hù)工具,希望能夠幫助正備受SQL注入攻擊折磨的網(wǎng)站管理員們。

網(wǎng)站安全狗(www.safedog.cn)是集網(wǎng)站內(nèi)容安全防護(hù)、網(wǎng)站資源保護(hù)及網(wǎng)站流量保護(hù)功能為一體的服務(wù)器工具。它的SQL注入主動(dòng)防御功能,通過主動(dòng)防護(hù)方式,能夠?qū)崿F(xiàn)實(shí)時(shí)、有效的SQL注入防護(hù),同時(shí)用戶可以根據(jù)自身的需要,設(shè)置個(gè)性化的防護(hù)規(guī)則,實(shí)現(xiàn)多層次,多維度的SQL注入防護(hù)。

網(wǎng)站安全狗SQL防護(hù)功能主要包括3點(diǎn),分別是檢測URL長度功能,檢測URL非法功能和注入的防護(hù)規(guī)則。

1. 檢測URL長度功能

很多人可能還不知道過長的URL到底有什么危害?在網(wǎng)絡(luò)上有人測試URL過長確實(shí)是會(huì)影響流量的,URL長度會(huì)影響誰的流量?普通情況下影響網(wǎng)站入口帶寬的流量。如果網(wǎng)頁代碼里的超連接寫的是長URL,導(dǎo)致網(wǎng)頁內(nèi)容變大,那么就嚴(yán)重影響了網(wǎng)站出口帶寬的流量。網(wǎng)站安全狗設(shè)置有URL長度上限值并且將這個(gè)上限值設(shè)為通用指標(biāo)來檢測URL長度,當(dāng)然這個(gè)上限值用戶是可以自己設(shè)定的,在這里設(shè)置URL長度為50字節(jié),并且訪問一個(gè)超長的鏈接進(jìn)行測試,具體設(shè)置和測試結(jié)果。如下圖:

2.攔截非法的URL

有些用戶在程序上設(shè)置上傳文件的后綴要求,但是網(wǎng)站還是被頻繁注入,注入的后綴形式都是以xxx.asp;。jpg這種形式出現(xiàn),網(wǎng)站安全狗也專門對這種后綴漏洞進(jìn)行了攔截,例如:在我們的測試網(wǎng)站空間內(nèi),網(wǎng)站程序上設(shè)置了上傳文件后綴必須為。jpg文件,上傳134.asp;。jpg這個(gè)木馬文件到網(wǎng)站空間上,發(fā)現(xiàn)網(wǎng)站并不會(huì)對這種文件進(jìn)行限制,而黑客就可以通過這個(gè)木馬文件獲取到用戶的FTP密碼甚至是服務(wù)器密碼。而開啟網(wǎng)站安全狗的“啟用非法URL功能”就可以針對這種情況進(jìn)行攔截,具體設(shè)置和攔截情況。如下圖:

3.SQL注入防護(hù)規(guī)則的設(shè)置

網(wǎng)站安全狗的設(shè)計(jì)是根據(jù)攻擊特征庫,對用戶輸入進(jìn)行過濾,從而達(dá)到防護(hù)SQL注入的目的。用戶可根據(jù)常用的注入設(shè)定防護(hù)規(guī)則,也可以根據(jù)實(shí)際需要對過濾規(guī)則進(jìn)行新增、修改、刪除。     用戶可以通過“新增”加入新的規(guī)則守護(hù),并且可以在“新增”設(shè)置規(guī)則中需要檢測的項(xiàng)目。同時(shí)當(dāng)用戶發(fā)現(xiàn)規(guī)則有誤,或者無用的規(guī)則時(shí)也可以通過界面上的“修改”和“刪除”進(jìn)行設(shè)置。如圖:

當(dāng)網(wǎng)站安全狗發(fā)現(xiàn)SQL注入攻擊時(shí),防火墻會(huì)自動(dòng)返回告警界面,提示攻擊者本服務(wù)器已受到保護(hù),用戶可以自己設(shè)置返回的文字說明內(nèi)容,如下圖:

同時(shí),用戶可以通過網(wǎng)站安全狗的防護(hù)日志,查看到完整的防護(hù)信息,包括攻擊者的IP、完整的URL、注入時(shí)間等信息。網(wǎng)站工作者對完整URL進(jìn)行查詢,如果數(shù)據(jù)庫被入侵,那么這個(gè)URL鏈接就能顯示被入侵的內(nèi)容,攔截黑客的SQL注入請求。

服務(wù)器管理員,網(wǎng)站管理員與攻擊者的戰(zhàn)爭永遠(yuǎn)不會(huì)停歇,即使我們擁有再好的防護(hù)手段,防護(hù)工具,都無法做到絕對的安全。因?yàn)榫W(wǎng)絡(luò)安全本質(zhì)上是一個(gè)動(dòng)態(tài)的過程,所以為避免因?yàn)楦黝惞羲鶐淼膿p害,服務(wù)器管理員、網(wǎng)站管理員,都要經(jīng)常性的對服務(wù)器及網(wǎng)站進(jìn)行安全檢測,更新系統(tǒng)漏洞,升級防護(hù)工具,定期管理防護(hù)工具,以保證服務(wù)器及網(wǎng)站安全。


本文出自:億恩科技【m.1tcdy.com】

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]

  • 您可能在找
  • 億恩北京公司:
  • 經(jīng)營性ICP/ISP證:京B2-20150015
  • 億恩鄭州公司:
  • 經(jīng)營性ICP/ISP/IDC證:豫B1.B2-20060070
  • 億恩南昌公司:
  • 經(jīng)營性ICP/ISP證:贛B2-20080012
  • 服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話:0371-60135900
  • 虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話:0371-60135900
  • 專注服務(wù)器托管17年
    掃掃關(guān)注-微信公眾號
    0371-60135900
    Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權(quán)所有  地址:鄭州市高新區(qū)翠竹街1號總部企業(yè)基地億恩大廈  法律顧問:河南亞太人律師事務(wù)所郝建鋒、杜慧月律師   京公網(wǎng)安備41019702002023號
      0
     
     
     
     

    0371-60135900
    7*24小時(shí)客服服務(wù)熱線