一个防御SQL注入攻击时需要注意的问题

最新推荐文章于 2021-02-06 23:43:19 发布
最新推荐文章于 2021-02-06 23:43:19 发布 · 120 阅读 · 0
文章标签:

#SQL #SQL Server #IIS #防火墙 #Google

探讨了IIS防火墙在防御SQL注入攻击方面的漏洞,特别是当含有未转义百分比符号(%)的关键字时,如何轻松绕过现有的IIS防火墙。

SQL注入算是一个极为普通的问题了,解决方案也多如牛毛,但是新的注入方式仍然层出不穷。

目前很多IIS防火墙其实质就是一个ISAPI Filter,针对SQL注入攻击的防御实质就是关键字过滤,这一点在我以前的随笔中提到的在开发的Web Server Guard中也是这样操作的。但目前大部分的IIS防火墙都存在一个漏洞:如果关键字包含未转义百分比符号 (%) ,那么将会绕过这些IIS防火墙的请求过滤和拦截,包含IIS 7.0的Request Filter。

<script type="text/javascript"><!-- google_ad_client = "pub-5834986413902221"; /* 336x280, 创建于 09-1-11 */ google_ad_slot = "3738213453"; google_ad_width = 336; google_ad_height = 280; //--> </script><script src="http://pagead2.googlesyndication.com/pagead/show_ads.js" type="text/javascript"> </script>

因为这类防火墙都是查找位于URL/Form/Cookie中的关键字,比如Exec。但是如果你传入E%xec,那么将不会被过滤,这个问题在目前已知的大部分IIS防火墙(具体的就不介绍了,以免存在广告之嫌,Google搜索即可知道)中都存在,很容易被轻易穿透。包含微软为ASP提供的一组安全过滤函数里面同样存在这个问题。

URLScan同样存在这个问题,但是URLScan 3.0beta我还没有测试过。所以大家在开发ISAPI Request Filter中要注意这一点。

http://www.ietf.org/rfc/rfc2396.txt

IIS 7.0修补程序:

http://www.microsoft.com/downloads/details.aspx?FamilyID=9bf0adf3-20ce-4772-8304-83b68983c1fa&DisplayLang=zh-cn

http://support.microsoft.com/kb/957508/en-us

 

本文转自 博客园

SQL注入攻击防御》PDF版本下载.txt
07-17
为了有效防范SQL注入攻击开发者需要采取一系列的安全措施: #### 1. **参数化查询** 使用预编译语句或参数化查询可以有效地防止SQL注入攻击。这种方式确保了用户输入的数据不会被视为SQL命令的一部分。 #### 2. ...
SQL注入攻击防御 第2版》PDF版本下载.txt
07-17
### SQL注入攻击防御知识点详解 #### 一、SQL注入概述 SQL注入是一种常见的Web应用程序安全漏洞,攻击者通过在应用程序的输入字段中插入恶意SQL语句,利用这些语句来操控数据库执行非授权操作。这种攻击方式可以...
防止SQL注入
有志者事竟成
08-30 598
防止SQL注入,我们需要注意以下几个要点: 1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和 双"-"进行转换等。 2.永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。 3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。 4.不要把机密信息直接存放,加密或者hash掉
sql注入漏洞原理
wsp1的专栏
02-28 4449
    ASP编程门槛很低,新手很容易上路。在一段不长的间里,新手往往就已经能够编出看来比较完美的动态网站,在功能上,老手能做到的,新手也能够做到。那么新手与老手就没区别了吗?这里面区别可就大了,只不过外行人很难一眼就看出来罢了。在界面的友好性、运行性能以及网站的安全性方面是新手与老手之间区别的三个集中点。而在安全性方面,新手最容易忽略的问题就是SQL注入漏洞的问题。用NBSI 2.0对网上
防止SQL注入和XSS攻击Filter
u014704496的专栏
06-12 685
nbsp;今天系统使用IBM的安全漏洞扫描工具扫描出一堆漏洞,下面的filter主要是解决防止SQL注入和XSS攻击 一个是Filter负责将请求的request包装一下。 一个是request包装器,负责过滤掉非法的字符。 将这个过滤器配置上以后,世界总算清净多了。。 代码如下: [java] view plaincopy im
数据库防火墙如何防范SQL注入行为
weixin_30879169的博客
10-17 637
SQL注入是当前针对数据库安全进行外部攻击的一种常见手段。现有主流应用大多基于B/S架构开发SQL注入攻击方式正是利用web层和通讯层的缺陷对数据库进行外部恶意攻击。将SQL命令巧妙的插入通讯的交互过程中,如:Web表单的递交、域名输入、页面请求等。通过硬性植入的查询语句攻击数据库,以期利用服务器自身缺陷执行恶意的SQL命令,从而入侵数据库。因此通过SQL注入攻击方式产生的安全事件也在增多,对...
SQL注入攻击防御技术白皮书.pdf
10-16
因此,防御SQL注入攻击是非常重要的。 3.IPS设备对于SQL注入攻击防御 IPS设备可以有效地防御SQL注入攻击。IPS设备可以检测和阻止恶意的SQL语句,防止攻击者获取敏感信息或篡改Web数据。 3.1 IPS设备SQL注入防御...
SQL注入攻击防御-第2版
10-11
主要内容: ·发现、确认和自动发现SQL注入漏洞 ·通过SQL注入利用漏洞 ·在代码中发现SQL注入的方法和技巧 ·利用操作系统的漏洞 ·在代码层和平台层防御SQL注入攻击 ·确定是否已经遭到SQL注入攻击
SQL注入攻击防御
07-17
另外,《SQL注入攻击防御》还专门从代码层和系统层的角度介绍了避免SQL注入的各种策略和需要考虑的问题。 《SQL注入攻击防御》主要内容: SQL注入一直长期存在,但最近有所增强。《SQL注入攻击防御》包含所有...
SQL注入常见的安全问题
weixin_41374755的博客
03-08 719
SQL注入一个安全问题,因为应用程序使用拼接SQL的技术而成为hacker攻击后台的方式。下面就介绍一下2种SQL注入,及解决SQL注入的方法。 1.基于 1=1 总为真 SELECT * FROM Users WHERE UserId = 105 OR 1=1; 只需在输入字段中插入105或1=1,就可以访问数据库中的所有用户名和密码。 2.标题基于批处理SQL SELECT * FRO...
一条看似不合理SQL和10个合理的解释
杨建荣的学习笔记
12-09 832
,这是学习笔记的第2172篇文章读完需要15分钟速读仅需5分钟有一天看到了一个开发同学提的问题,感觉蛮有意思,就稍花了些间总结了下,问题描述如下:开发候碰到类似这么一个问题:m...
SQL 注入利用与防御
Misolamiso的博客
12-21 685
Access的SQL注入ASP+Access注入猜解过程: 1.猜解表名/字段名 and(select count(*) from table) >=0/and exists(select *from table) eg:10.211.55.5:8081/index.asp?action=edit&id=1and (select count(*)from admin>0)
sql注入问题引起的思考
u014257959的博客
10-20 896
前几天,公司给我了份服务器上测试的漏洞需要修复。 我第一次看到了这个词:sql注入漏洞。 后面去上面了解了下这个sql注入漏洞,通过是指通过客户输入到后台的那些能到数据库得到数据的位置上,恶性的输入一些对数据有害的操作。 网上: SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是
mysql手工注入绕过防火墙_mssql手工注入及绕过术
weixin_42466518的博客
02-06 548
报错注入:-例子:http://www.kfgtfcj.xxx.cn/lzygg/Zixun_show.aspx?id=1【1】首先爆版本:http://www.kfgtfcj.xxx.cn/lzygg/Zixun_show.aspx?id=1 and @@version>0报错信息:在将 nvarchar 值 'Microsoft SQL Server 2008 R2 (RTM) - 10...
防止SQL注入,我们需要注意以下几个要点:
qq_35808818的博客
05-23 671
1、永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;
基于贝叶斯优化CNN-LSTM混合神经网络预测(Matlab代码实现)
最新发布
12-03
内容概要:本文介绍了基于贝叶斯优化的CNN-LSTM混合神经网络在间序列预测中的应用,并提供了完整的Matlab代码实现。该模型结合了卷积神经网络(CNN)在特征提取方面的优势与长短期记忆网络(LSTM)在处理序依赖问题上的强大能力,形成一种高效的混合预测架构。通过贝叶斯优化算法自动调参,提升了模型的预测精度与泛化能力,适用于风电、光伏、负荷、交通流等多种复杂非线性系统的预测任务。文中还展示了模型训练流程、参数优化机制及实际预测效果分析,突出其在科研与工程应用中的实用性。; 适合人群:具备一定机器学习基基于贝叶斯优化CNN-LSTM混合神经网络预测(Matlab代码实现)础和Matlab编程经验的高校研究生、科研人员及从事预测建模的工程技术人员,尤其适合关注深度学习与智能优化算法结合应用的研究者。; 使用场景及目标:①解决各类间序列预测问题,如能源出力预测、电力负荷预测、环境数据预测等;②学习如何将CNN-LSTM模型与贝叶斯优化相结合,提升模型性能;③掌握Matlab环境下深度学习模型搭建与超参数自动优化的技术路线。; 阅读建议:建议读者结合提供的Matlab代码进行实践操作,重点关注贝叶斯优化模块与混合神经网络结构的设计逻辑,通过调整数据集和参数加深对模型工作机制的理解,同可将其框架迁移至其他预测场景中验证效果。
(142页PPT)大型集团数字化转型智能制造SAP企业信息化ERP整体规划方案.pptx
12-03
(142页PPT)大型集团数字化转型智能制造SAP企业信息化ERP整体规划方案.pptx
详解SQL注入攻击原理及防御策略
通过掌握上述知识点,读者可以对SQL注入攻击一个全面的理解,并能够在实际工作中应用防御措施,构建更安全的数据库和Web应用。《SQL注入攻击防御》一书作为安全技术领域的经典译作,为IT专业人士提供了深入的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值