|
日前SQL INJECTION的攻擊測(cè)試愈演愈烈���,很多大型的網(wǎng)站和論壇都相繼被注入。這些網(wǎng)站一般使用的多為SQL SERVER數(shù)據(jù)庫(kù)�����,正因?yàn)槿绱耍芏嗳碎_(kāi)始懷疑SQL SERVER的安全性����。其實(shí)SQL SERVER 2000已經(jīng)通過(guò)了美國(guó)政府的C2級(jí)安全認(rèn)證-這是該行業(yè)所能擁有的最高認(rèn)證級(jí)別,所以使用SQL SERVER還是相當(dāng)?shù)陌踩����。?dāng)然和ORCAL�����、DB2等還是有差距�,但是SQL SERVER的易用性和廣泛性還是能成為我們繼續(xù)使用下去的理由。那怎么樣才能使SQL SERVER的設(shè)置讓人使用的放心呢���?
第一步肯定是打上SQL SERVER最新的安全補(bǔ)丁��,現(xiàn)在補(bǔ)丁已經(jīng)出到了SP3����。下載地址:http://www.microsoft.com/sql/downloads/2000/sp3.asp �����。如果這一步都沒(méi)有做好,那我們也沒(méi)有繼續(xù)下去的必要了�����。
第二步是修改默認(rèn)的1433端口��,并且將SQL SERVER隱藏�。這樣能禁止對(duì)試圖枚舉網(wǎng)絡(luò)上現(xiàn)有的 SQL Server 客戶端所發(fā)出的廣播作出響應(yīng)。另外�,還需要在TCP/IP篩選中將1433端口屏蔽掉,盡可能的隱藏你的SQL SERVER數(shù)據(jù)庫(kù)�。這樣子一但讓攻擊創(chuàng)建了SQL SERVER的賬號(hào),也不能馬上使用查詢分析器遠(yuǎn)程登陸來(lái)進(jìn)行下一步的攻擊����。單從ASP,PHP等頁(yè)面構(gòu)造惡意語(yǔ)句的話����,還有需要查看返回值的問(wèn)題,總比不上直接查詢分析器來(lái)得利落�����。所以我們首先要做到即使讓別人注入了,也不能讓攻擊者下一步做得順當(dāng)�����。修改方法:企業(yè)管理器 --> 你的數(shù)據(jù)庫(kù)組 --> 屬性 --> 常規(guī) --> 網(wǎng)絡(luò)配置 --> TCP/IP --> 屬性 ��,在這兒將你的默認(rèn)端口進(jìn)行修改��,和SQL SERVER的隱藏�����。
第三步是很重要的一步�����,SQL INJECTION往往在WEB CODE中產(chǎn)生���。而做為系統(tǒng)管理員或者數(shù)據(jù)庫(kù)管理員,總不能常常的去看每一段代碼�。即使常常看代碼����,也不能保證我們?cè)谏厦娴氖韬��。那怎么辦���?我們就要從數(shù)據(jù)庫(kù)角色著手,讓數(shù)據(jù)庫(kù)用戶的權(quán)限劃分到最低點(diǎn)�����。SQL SERVER的默認(rèn)權(quán)限讓人真的很頭疼�,權(quán)限大得非常的高,權(quán)限小的又什么都做不了���,SYSADMIN和db_owner真是讓人又愛(ài)又恨����。攻擊者一但確認(rèn)了網(wǎng)站存在SQL INJECTION漏洞��,肯定有一步操作步驟就是測(cè)試網(wǎng)站的SQL SERVER使用者具有多大的權(quán)限�����。一般都會(huì)借助select IS_SRVROLEMEMBER(’sysadmin’)����,或者select IS_MEMBER(’db_owner’)��,再或者用user = 0(讓字符和數(shù)字進(jìn)行比較�����,SQL SERVER就會(huì)提示了錯(cuò)誤信息�,從該信息中即可知道一些敏感信息)等語(yǔ)句進(jìn)行測(cè)試�。方法還有,我也不敢多說(shuō)了�。其一怕錯(cuò),其二怕聯(lián)盟中的人扁��。在當(dāng)前�����,如果網(wǎng)站的數(shù)據(jù)庫(kù)使用者用的是SA權(quán)限��,再加上確認(rèn)了WEB所處在的絕對(duì)路徑���,那么就宣告了你的網(wǎng)站的OVER。db_owner權(quán)限也一樣�����,如果確認(rèn)了絕對(duì)路徑,那么有50%的機(jī)會(huì)能給你的機(jī)器中上WEB 方式的木馬����,如海陽(yáng)等。所以這兒我們確認(rèn)了一點(diǎn)����,我們必須要?jiǎng)?chuàng)建自已的權(quán)限,讓攻擊者找不著下嘴的地方�����。在這兒引用一個(gè)SQL SERVER聯(lián)機(jī)幫助中的例子:
創(chuàng)建 SQL Server 數(shù)據(jù)庫(kù)角色的方法(企業(yè)管理器)
創(chuàng)建 SQL Server 數(shù)據(jù)庫(kù)角色
1. 展開(kāi)服務(wù)器組��,然后展開(kāi)服務(wù)器�����。
2. 展開(kāi)"數(shù)據(jù)庫(kù)"文件夾���,然后展開(kāi)要在其中創(chuàng)建角色的數(shù)據(jù)庫(kù)�。
3. 右擊"角色"���,然后單擊"新建數(shù)據(jù)庫(kù)角色"命令�。
4. 在"名稱"框中輸入新角色的名稱。
5. 單擊"添加"將成員添加到"標(biāo)準(zhǔn)角色"列表中�����,然后單擊要添加的一個(gè)或多個(gè)用戶�。(可選)
只有選定數(shù)據(jù)庫(kù)中的用戶才能被添加到角色中。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
