网站运营
位置:首页>> 网站运营>> 防范SQL脚本入侵,你做好准备了吗?

防范SQL脚本入侵,你做好准备了吗?

  发布时间:2008-02-15 08:20:00 

标签:入侵,服务器,攻击

作为网络管理员,不少朋友也同时负责单位的网站开发维护的工作,对于WEB开发我想大家都比较精通,可是对如何编写安全的脚本代码和入侵者如何通过WEB方式对服务器进行渗透的,可能就不是很清楚了,有不少朋友错误的认为我的服务器有硬件防火墙,而且只开了80端口,是不会有网络安全问题的。

下面我就向大家介绍几种比较常见的脚本攻击的方法,让大家从中能够找到安全防护的方法,从而提高服务器的安全性。

1、简单的脚本攻击

此类攻击是由于WEB程序编写上对特殊字符过滤不严密所造成的,虽说不能对服务器的安全造成严重威胁,可是却可以使入侵者发布含有HTML语句的恶意代码,扰乱网站秩序,从而对网站产生不良影响。下面给大家举个例子:某网站在进行用户注册时,没有对特殊字符进行过滤,就有可能被无聊者利用,假设论坛的管理员ID为:webmaster,那就有可能有人在注册用户名时注册成 webmaster ,尽管ID有区别,可是在页面显示却是一样的,如果无聊者把其他的信息改的和webmaster一样,那别人就很难区分这两个ID哪个是真的哪个是假的。有不少网站有自己开发的留言板,而且支持提交HTML留言,这就给破坏者提供了机会,他们可以写一个自动弹出窗口并打开一个带木马的网页的代码,这样别人在浏览这条留言时就有可能被种下木马。防范方法很简单,加个过滤函数就可以了:



  


〈% 
  function SqlCheck(fString) 
   fString = Replace(fString, "'","") 
   fString = Replace(fString, " ","") 
   fString = Replace(fString, ";","") 
   fString = Replace(fString, "--","") 
   fString = Replace(fString, ",","") 
   fString = Replace(fString, "(","") 
   fString = Replace(fString, ")","") 
   fString = Replace(fString, "=","") 
   fString = Replace(fString, "%","") 
   fString = Replace(fString, "*","") 
   fString = Replace(fString, "<","") 
   fString = Replace(fString, ">","") 
   SqlCheck = fString 
  end function 
  %〉 

以上过滤函数中的String = Replace(fString, "<","") fString = Replace(fString, ">","")可以去掉语句中的“<”和“>”符号,使HTML代码无法运行。


2、Sql Injection 漏洞攻击


也叫Sql注入攻击,是目前比较常见的一种WEB攻击方法,它利用了通过构造特殊的SQL语句,而对数据库进行跨表查询的攻击,通过这种方式很容易使入侵者得到一个WebShell,然后利用这个WebShell做进一步的渗透,直至得到系统的管理权限,所以这种攻击方式危害很大。建议大家使用NBSI,小榕的WED+WIS等注入工具对自己的网站扫描一下,看是否存在此漏洞。还有一种比较特殊的Sql注入漏洞,之所以说比较特殊,是因为它是通过构造特殊的SQL语句,来欺骗鉴别用户身份代码的,比如入侵者找到后台管理入口后,在管理员用户名和密码输入“'or '1'='1'”、“'or''='”、“') or ('a'='a”、“" or "a"="a”、“' or 'a'='a”、“' or 1=1--”等这类字符串(不包含引号),提交,就有可能直接进入后台管理界面,由此也可以看出对特殊字符进行过滤是多么的重要。还有一点要注意,一定不要让别人知道网站的后台管理页面地址,除了因为上面的原因外,这也可以防止入侵者通过暴力破解后台管理员用户名和密码等方法进入后台管理。这类攻击的防范方法除了加上面提到的过滤函数外,还要屏蔽网站的错误信息,同时也需要配置好IIS的执行权限,以前的杂志也详细介绍过防范方法,在这里不做详细说明。


3、对整站系统和论坛的攻击

不少网站使用一些比如动易,乔客,动网,BBSXP等知名度高,功能强大的系统和论坛,由于这些系统的功能强大,所以不可避免的就带来了不小的安全风险。因为可以从网上直接得到这些系统的代码,再加上使用这些系统的网站比较多,所以研究这些系统漏洞的人也就很多,我们也就经常会在网上可以看到某某系统又出最新漏洞的文章,建议大家经常不定期的去这些系统的官方网站下载最新的补丁。


本文主要是为了让广大的WEB程序开发人员提高安全意识和找到防范入侵者的方法,通过研究上面的一些入侵方法来防范入侵者的攻击,请大家不要利用本文介绍的一些方法用于攻击别人上,由本文方法造成任何损失,由使用者负责,本人概不负责。

0
投稿

猜你喜欢

  • WEB服务器常有情况发生,以下给出三种最常见情况的解决方法防ACCESS数据库下载添加MDB的扩展映射就可以了。方法:IIS属性,主目录,配
  • 第一张google寄来的美元支票的时间是2004年,收到google寄来的支票了,有点出乎意料。相信许多站长都有收到第一张支票的激动,goo
  • 很多朋友都用虚拟主机来做网站,将网页文件存放在虚拟空间上,但是页面内容一多,网站打开的速度就显得特别慢,如果您碰到这种情况,与其寻求更好的空
  • 前端开发常见的安全问题就是会遭受 XSS 注入攻击,这里列举常见的代码注入方式。Javascript 代码注入Javascript 代码注入
  • 其他不再赘述,发挥二的性格,我们直奔主题。用户打开网站的整个流程中,DNS解析时第一环,当用户输入域名并敲回车后,windows系统调用DN
  • FreeBSD是一个可以在Intel兼容机、DEC Alpha或PC98架构的计算机上执行的UNIX操作系统。由于FreeBSD是Unix的
  • Google广告管理系统是一套在线广告管理系统,可以帮助广大网站主全面提高网站广告收益。通过这个系统,网站可以很方便的管理和投放网站广告,包
  • ZooKeeper 就是动物园管理员的意思,它是用来管理 Hadoop(大象)、Hive(蜜蜂)、pig(小猪)的管理员,Apache Hb
  • 以下是Adsense小组新手专题的文章,原文标题:无效点击和点击欺诈的定义经常有新发布商向我们询问这两个词的意思,为帮助发布商充分理解它们的
  • 最近一段时间整个cms行业算是比较骚动,Phpcms创始人淡淡风离职,dedecms的其中一位投资人撤资,风讯拖欠员工工资估计马上也要打官司
  • 最近跟一些站长交流了一下,根据他们及网络和自己的一些总结,归纳了合格站长应具备的基本条件,这几天也一直为自己的论坛忙的不可开胶,也一直在找关
  • 问题:常用命令“ll”失效或命令未找到原因:"ll"命令不是linux的基本命令,它是"ls -l"
  • 网站做到极致就是简单、可用性与易浏览。百度,GOOGLE,只有一个输入框,在输入框里面输入不同的关键字,产生不同的效果和结果。其给网民体验的
  • 一个好的,有发展,有前途的SNS网站要走出成功的第一步必须经过几个阶段,大体分为三大:一、不通过搜索引擎优化,直接真实用户数达到200以上;
  • 首先最大的亮点就是软文推广,目前用户比较喜欢的就是视频推广和软文推广,这样的推广也最不耗力气,而又最有效率的一种方式了。视频最好的例子就是最
  • IIS的相关设置:删除默认建立的站点的虚拟目录,停止默认web站点,删除对应的文件目录c:inetpub,配置所有站点的公共设置,设置好相关
  • 百度收录减少的问题,好多站长都遇见过,很多朋友说自己网站莫名其妙的百度收录减少,有的在还没有找到原因,没有合适的解决办法。百度收录减少也被有
  • 程序员是一个脆弱、特殊的群体,以各种方式生存在有01的世界里。程序员的特点:狂躁,但是有修养随和,但是疯癫肯向任何人学,但是不服任何人守约,
  • 1.操作环境vmware14Proubuntu 16.04LTS2.问题描述在使用vmware14Pro安装ubuntu 16.04LTS系
  • 有很多发布商不能确定自己的网页投放哪一种广告格式和颜色效果最好。也有些发布商认为自己目前投放的广告格式就是最好的,而事实是不是真的是这样呢?
手机版 网站运营 asp之家 www.aspxhome.com