简单三步走堵死SQL Server注入漏洞

莫烦恼慕直前

莫烦恼慕直前

2016-02-19 14:49

有一种朋友不在生活里,却在生命力;有一种陪伴不在身边,却在心间。图老师即在大家的生活中又在身边。这么贴心的服务你感受到了吗?话不多说下面就和大家分享简单三步走堵死SQL Server注入漏洞吧。

  SQL注入是什么?

  许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问),根据程序返回的结果,获得某些想得知的数据,这就是所谓的SQL Injection,即SQL注入。

  网站的恶梦——SQL注入

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/bianchengyuyan/)

  SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户,从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序,对网站和访问该网站的网友都带来巨大危害。

  防御SQL注入有妙法

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/bianchengyuyan/)

  第一步:很多新手从网上下载SQL通用防注入系统的程序,在需要防范注入的页面头部用来防止别人进行手动注入测试。可是如果通过SQL注入分析器就可轻松跳过防注入系统并自动分析其注入点。然后只需要几分钟,你的管理员账号及密码就会被分析出来。

  第二步:对于注入分析器的防范,笔者通过实验,发现了一种简单有效的防范方法。首先我们要知道SQL注入分析器是如何工作的。在操作过程中,发现软件并不是冲着“admin”管理员账号去的,而是冲着权限(如flag=1)去的。这样一来,无论你的管理员账号怎么变都无法逃过检测。

  第三步:既然无法逃过检测,那我们就做两个账号,一个是普通的管理员账号,一个是防止注入的账号,为什么这么说呢?笔者想,如果找一个权限最大的账号制造假象,吸引软件的检测,而这个账号里的内容是大于千字以上的中文字符,就会迫使软件对这个账号进行分析的时候进入全负荷状态甚至资源耗尽而死机。下面我们就来修改数据库吧!

  1.对表结构进行修改。将管理员的账号字段的数据类型进行修改,文本型改成最大字段255(其实也够了,如果还想做得再大点,可以选择备注型),密码的字段也进行相同设置。

  2.对表进行修改。设置管理员权限的账号放在ID1,并输入大量中文字符(最好大于100个字)。

  3.把真正的管理员密码放在ID2后的任何一个位置(如放在ID549上)。

  我们通过上面的三步完成了对数据库的修改。这时是不是修改结束了呢?其实不然,要明白你做的ID1账号其实也是真正有权限的账号,现在计算机处理速度那么快,要是遇上个一定要将它算出来的软件,这也是不安全的。我想这时大多数人已经想到了办法,对,只要在管理员登录的页面文件中写入字符限制就行了!就算对方使用这个有上千字符的账号密码也会被挡住的,而真正的密码则可以不受限制。

展开更多 50%)
分享

猜你喜欢

简单三步走堵死SQL Server注入漏洞

编程语言 网络编程
简单三步走堵死SQL Server注入漏洞

三步堵死 SQL Server注入漏洞

编程语言 网络编程
三步堵死 SQL Server注入漏洞

s8lol主宰符文怎么配

英雄联盟 网络游戏
s8lol主宰符文怎么配

三步堵死SQL注入漏洞

SQLServer
三步堵死SQL注入漏洞

科学胎教三步走

早教
科学胎教三步走

lol偷钱流符文搭配推荐

英雄联盟 网络游戏
lol偷钱流符文搭配推荐

夏天防晒三步走

防晒 护肤方法
夏天防晒三步走

“三步走”扫清阳痿障碍

教育 早教
“三步走”扫清阳痿障碍

lolAD刺客新符文搭配推荐

英雄联盟
lolAD刺客新符文搭配推荐

你们都对我不屑一顾 - QQ情侣分组

你们都对我不屑一顾 - QQ情侣分组

SQL链接Oracle数据长度不定的问题

SQL链接Oracle数据长度不定的问题
下拉加载更多内容 ↓