空间管理您的位置: IXPUB技术博客 » 妖界之箭欢迎您(CHINA *009) » 日志

防范SQL注入的服务器管理员和程序员应该做的事

上一篇 / 下一篇 2008-08-07 07:03:26

服务器管理员，既然你不可能挨个检查每个网站是否存在SQL注入漏洞，那么就来个一个绝招。这个绝招能有效防止SQL注入入侵而且"省心又省力，效果真好！"SQL注入入侵是根据IIS给出的ASP错误提示信息来入侵的，如果你把IIS设置成不管出什么样的ASP错误，只给出一种错误提示信息，即http 500错误，那么人家就没办法入侵了。具体设置请参看截图。主要把500:100这个错误的默认提示页面 C:\WINDOWS\Help\iisHelp\common\500-100.asp改成
C:\WINDOWS\Help\iisHelp\common\500.htm即可，这时，无论ASP运行中出什么错，服务器都只提示HTTP　500错误。

截图如下：

] OSe ZL zA*b]+U L0IXPUB技术博客/Vjx7iBk-l

　　但是这样设置一个不好的地方是程序员编写的代码出错时，服务器不给出详细的错误提示信息，会给程序员带来很大的不便。不过，服务器毕竟不是测试代码的地方，应坚持安全稳定第一，这样设置也是无可厚非的，事实上许多服务器的出错信息都是如此设置。
T"{%V\SzF0
Xf.`gX"S0　　服务器管理员还应在IIS中为每个网站设置好执行权限，可千万别给人家静态网站以"脚本和可执行"权限。一般情况下给个"纯脚本"权限就够了，对于那些通过网站后台管理中心上传的文件存放的目录，就更吝啬一点吧，执行权限设为"无"好了，这样做是为了防止人家上传ASP木马，执行权限设为"无"，人家上传ASP木马也运行不了。一般情况下，SQL注入漏洞仅是涉及一个网站安全的事，如果人家通过这个漏洞上传了ASP木马并运行起来，那整个服务器都失陷了。所以有远见的、有责任心的服务器管理员应该十分吝啬的配置IIS的执行权限。
(W4E2g:`U-omcB:c9ik-W0IXPUB技术博客[F)y@,^9v
　　同样的吝啬态度应适用于数据库用户的权限配置上，当然这里数据库是指MS＿SQL啦，ACCESS都没有用户权限配置这一步骤。如果PUBLIC权限足够使用的绝不给再高的权限，可千万别把SA级别的权限随随便便地给人家啊。那个所谓的网站安全漏洞检测工具NBSI 2.0可有跨库进行SQL注入的功能啊，如果你把SA权限给了存在SQL注入漏洞的库，那其它库就不保啦！城门失火，殃及池鱼呀。而人家还可以通过调用xp_cmdshell命令得到系统的最高权限。

MpDj1[8R*ek0IXPUB技术博客aL"Y*Pz8?E

8gf"~])U0　　接下来要讲讲程序员的防范措施了。程序主要要做两件事，最重要的一件事，当然是对客户端提交的变量参数进行仔细地检测啦。对客户端提交的变量进行检查以防止SQL注入，有各种方法，这里介绍一种现成的方法，别人已经写好了检测代码，拿来用一下，不用自己辛苦啦。那就是"枫叶SQL通用防注入V1.0 ASP版"，这是一段对用户通过网址提交过来的变量参数进行检查的代码，发现客户端提交的参数中有"exec、insert、select、delete、from、update、count、user、xp_cmdshell、add、net、Asc"等用于SQL注入的常用字符时，立即停止执行ASP并给出警告信息或转向出错页面。大家可以到网上搜索一下，下载这段代码，存为一个ASP页面，如checkSQL.asp，把这个页面include到每个需要带参数查询SQL数据库ASP页面中，记住，只要加一行这样的代码就行了。
{:U#M(qx'@"?1{-I0IXPUB技术博客@'mIc-U
　　程序员要做的第二件事是给用户密码加密啦。比如用MD5加密。MD5是没有反向算法,不能解密的。人家即使知道经加密后存在数据库里的像乱码一样的密码，他也没办法知道原始密码了。不过，人家可以用Update方法用他的密码代替你的密码，但这个操作还是有点麻烦，人家可能会怕麻烦而放弃。而那个所谓的网站安全漏洞检测工具NBSI 2.0是没有提供Update操作功能的，所以用MD5加密后，人家仅用NBSI 2.0而不辅以手动操作的话，就不可能获得网站管理员帐号的密码，这将挡住许多菜鸟级的攻击者，至少那些既不懂ASP又不懂SQL、年纪小小的男性青年是没有办法啦！