当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 防止SQL注入攻击的方法

安全防护
防止SQL注入攻击的方法
基础教程篇:五个方面何防止网站被挂木马
JavaScript可能成为新的黑客攻击点
辨明是非 文件关联型木马的特殊化查杀
三个小命令 检查电脑是否被安装木马
CC攻击的原理和预防
新手看招:在Linux操作系统下创建锁文件
防范黑客来自网上的攻击的几种方法
Web内容安全过滤设备应注重多层次管理功能
浅谈木马的十大潜伏诡招
防范ASP木马的十大基本原则
拒绝木马入侵 四大绝招来防护
菜鸟安全手册:实战捕获局域网 ARP病毒
安全技术谈:网页挂马工作原理完全分析
用好Windows命令 识别木马蛛丝马迹
安全技巧:利用软件限制策略阻止网马侵袭
Serv-u本地权限提升漏洞的终极防御
七个维护服务器安全的技巧
服务器安全经验:防止非法登陆
服务器存储数据丢失后的正确操作方法

安全防护 中的 防止SQL注入攻击的方法


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-18   浏览: 40 ::
收藏到网摘: n/a

攻击者如此青睐Web攻击的一个重要原因是它可以损害一些无辜的站点,并用于感染大量的受害者。事实证明,Web服务器已经被证明是互联网络中的“软柿子”,攻击者们可以充分利用之。这种攻击的唯一受害者就是用户,因为正是用户在浏览受到危害的网站时会将自己暴露给恶意代码。然而,除了用户之外,还有两个受害人,即网站的所有者和管理员。

在近半年来的SQL注入攻击中,这一点尤其明显,在其中,后端数据库可能被恶意代码感染。清理这种攻击的后遗症是很痛苦的,有许多案例证明,清理数据库之后,几小时后会再次遭受攻击。最佳的方法是预防,从一开始就想方设法避免遭受攻击。

在此,笔者只是总结几条技巧,站点所有者和管理员可以遵循之,便可以将遭受攻击的机会最小化。

制定最佳方法

SQL注入攻击并不是新东西,攻击者们掌握这项技巧已经有许多年了。近些日子,许多网站发表了一些文章提供了一些资源,帮助开发人员编写安全代码。安全管理人员应当制定一些通用的安全方法,下面给出三点建议。一、建立参数化的存储进程,二、最少特权连接,三、仅对所有的存储进程授权“运行”许可,四、仅对应用程序域组授予许可

除了一开始就注意安全地开发应用程序,对现有的应用程序实施评估是很重要的,这包括对第三方的应用程序。可以利用惠普发布的Scrawlr来帮助开发人员查找包含漏洞的页面。此外,谷歌提供的ratproxy也是不错的选择。

尽可能少的特权

开发人员应当确保Web应用程序以最少的特权运行,千万不要使用管理员账户运行,如避免使用db_owner 或 sysadmin等账号运行。

服务器日志

跟踪日志对于诊断攻击是很有用的。近半年以来的SQL注入攻击都是通过恶意的HTTP请求发生的。对服务器中的URI查询串进行检查可有助于确认攻击,并可成为日后调查的起始点。

第三方厂商

如果单位使用第三方开发的软件,要确保其遵循最佳的方法。要特别关注其程序的测试,要关注其开发力量和软件升级能力。

保护Web应用程序

现在的市场上,有各种各样的产品可以强化Web应用程序的安全,防御一些攻击。但这些不能成为代替开发安全程序的最佳方法和技巧。例如,Web应用程序防火墙中,现在有大量的商业产品可以选择。有的防火墙,如IPS方案可有助于保护Web服务器免受攻击,并可阻止恶意的请求,防止其访问服务器。

对付Web威胁和SQL注入攻击并没有什么一招制敌的妙方。但是加强对用户的教育,并实施一些行业的最佳方法,这确实可防止通过注入攻击实施的Web损害。