欢迎来到天天文库
浏览记录
ID:9432718
大小:51.00 KB
页数:4页
时间:2018-04-30
《asp.网站的sql注入攻击与防范》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、ASP.网站的SQL注入攻击与防范互联X技术的扩拓总是伴随着X络安全问题,以ASP.语言为基点inistrator作为操作管理的名字,pass-inistrators表就是正确的,意味着可以登录。这种方式是登录账户及密码都是直接操作的一种手段。另外,也有一些不同的操作方法,但是其原理都相同,只需要令dr.read()返回真的结果就可以。2.2数据更新时的SQL注入首先,假设与后台数据库内部存在表users,其结构如表1所示。表1中:用户名用name表示;密码用pass-e-ters集合中。在使用P
2、arameters集合的过程中,长度检查特性和类型验证特性会将可操作代码视为文字,并对不属于该范围的数据进行报警处理。4)加强安全性。安全种类的SQL参数在使用程序的拼接语句的过程中,能够有效提高其安全稳定性。因为一部分因素的影响,导致在访问数据库时,程序不可以按照设置的存储路径进行。所以,通过安全种类的SQL参数,才可以对具有拼接SQL语句的程序进行访问。5)对敏感数据进行加密存储。用户对敏感数据进行保存时,实施加密用户输入的数据并检测输入数据的内容的安全性。以存储在数据库内的数据为基础对比加密
3、后的敏感数据,就会发现和之前已经保存过的数据不同,经过用户加密后的敏感数据能够更加有效地制止SQL的注入攻击。System.sAuthentication加密方式在ASP.集成环境中,更易于加密数据。6)禁止将服务器端错误消息返回给页面浏览者。程序设计人员可以利用已经在程序内设置的数据为基础,在操作的自定义的用户界面,而不再显示如源文件存储位置、源错误位置等具体的原因。7)安全部署X站系统。a)数据库服务应部署在专用的物理服务器上,而,union等,也不能消除警惕,应以用户录入参数的长短为依据,检
4、查是否为合法程序,如果不是合法代码,就对其进行错误警示。2)设置数据库服务器的权限。在Web界面连接数据库的时候,尽可能不使用超级管理员身份。一般情况下,不允许Web页面干涉系统的存储方式和系统表的读取方式,即使是户表,对权限设置也要慎重考虑,对只需要读操作权限的用户,不给予插入、更新等权限。3)将不重要的交互式提交表格页面进行关闭或删除。在编写代码的过程中,程序员屏蔽掉代码层内常见的危险字符,这样就可以阻止或者屏蔽一些简单的X站注入攻击。4)作为X站管理员,要及时打补丁并强化数据。应定期、及时地
5、通过相关设施和器具检查Web页面收到的攻击,实施监测数据库运行情况,禁止一切无用的功能和服务。4结论对于SQL注入漏洞的检测条件是有限制的,检测效果重点在于代码覆盖率。通常情况下,会采用黑盒测试技术进行客户端SQL注入漏洞检测技术,当然检测效果也是取决于所建立检测漏洞模型是否准确,同时,也需要原代码给予一定的支持,如服务器端源代码的静态检测技术和动态检测技术,及两种检测技术相结合共同检测。但是污点跟踪技术是在发现SQL注入漏洞之后,而且也只是会终止进程或是发出报警,无法对抗利用漏洞发起的拒绝服务攻
6、击,而综合检测技术无法追踪漏洞的位置和起因等,它只是提供安全部署的框架。ASP.X站开发的信息系统被入侵,是因为代码存在的问题被入侵者发现。因此,当程序员在编写程序时,首先,检测对客户端提交的变量参数和字符变量参数;然后,根据以下6点防御SQL注入的攻击。1)通过类安全的参数代码机制打造动态SQL语句。2)简短单表输入和查阅字符会降低有害代码强行SQL命令的频率。3)检测填写的权限问题,保证填写的数据是可用的,同时,通过客户端和服务器端的双向验证实现更严格的访问控制。4)代码设置前先做评定,脆弱敏
7、感的信息加上密码后再放置到数据库中,对比填写的密码是否和数据库一致,没有针对性意义的数据没事,有针对性的则要进行防范。5)对返回数据进行检测,超过的记录都按照出错来进行处理。6)操的权限放置到最基本要求。
此文档下载收益归作者所有