SQL安全设置攻略

• 日前SQL INJECTION的攻击测试愈演愈烈，很多大型的网补丁和论坛都相继被注入。这些网站一般使用的多为SQL SERVER数据库，正因为如此，很多人开始怀疑SQL SERVER的补丁性。其实SQL SERVER 2000已经通过了美国政府的C2级安全补丁-这是该行业所能拥有的最高认证级别，所以使用SQL SERVER还是相当的安全的。当然和ORCAL、DB2等还是有差距，但是SQL SERVER的易用性和广泛性还是能成为我们继续使用下去的理由。那怎么样才能使SQL SERVER的设置让人使用的放心呢？
  
  第一步肯定是打上SQL SERVER最新的安全补丁，现在补丁已经出到了SP3。补丁地址：补丁 。如果这一步都没有做好，那我们也没有继续下去的必要了。
  
  第二步是补丁改默认的1433端口，并且将SQL SERVER隐藏。这样能禁止对试图枚举网络上现有的 SQL Server 客户端所发出的广播作出响应。另外，还需要在TCP/IP筛选中将1433端口屏蔽掉，尽可能的隐藏你的SQL SERVER数据库。这样子一但让攻击创建了SQL SERVER的账号，也不能马上使用查询分析器远程登陆来进行下一步的攻击。单从ASP，PHP等页面构造恶意语句的话，还有需要查看返回值的问题，总比不上直接查询分析器来得利落。所以我们首先要做到即使让别人注入了，也不能让攻击者下一步做得顺当。修改方法：企业管理器 --> 你的数据库组 --> 属性 --> 常规 --> 网络配置 --> TCP/IP --> 属性 ，在这儿将你的默认端口进行修改，和SQL SERVER的隐藏。
  
  第三步是很重要的一步，SQL INJECTION往往在WEB CODE中产生。而做为系统管理员或者数据库管理员，总不能常常的去看每一段代码。即使常常看代码，也不能保证我们在上面的疏忽。那怎么办？我们就要从数据库角色着手，让数据库用户的权限划分到最低点。SQL SERVER的默认权限让人真的很头疼，权限大得非常的高，权限小的又什么都做不了，SYSADMIN和db_owner真是让人又爱又恨。攻击者一但确认了网站存在SQL INJECTION漏洞，肯定有一步操作步骤就是测试网站的SQL SERVER使用者具有多大的权限。一般都会借助select IS_SRVROLEMEMBER('sysadmin')，或者select IS_MEMBER('db_owner')，再或者用user = 0(让字符和数字进行比较，SQL SERVER就会提示了错误信息，从该信息中即可知道一些敏感信息)等语句进行测试。方法还有，我也不敢多说了。其一怕错，其二怕补丁中的人扁。在当前，如果网站的数据库使用者用的是SA权限，再加上确认了WEB所处在的绝对路径，那么就宣告了你的网站的OVER。db_owner权限也一样，如果确认了绝对路径，那么有50％的机会能给你的机器中上WEB 方式的补丁，如海阳等。所以这儿我们确认了一点，我们必须要创建自已的权限，让攻击者找不着下嘴的地方。在这儿引用一个SQL SERVER联机帮助中的例子：
  
  
  创建 SQL Server 数据库角色的方法（企业管理器）
  创建 SQL Server 数据库角色
  1. 展开服务器组，然后展开服务器。
  2. 展开"数据库"文件夹，然后展开要在其中创建角色的数据库。
  3. 右击"角色"，然后单击"新建数据库角色"命令。
  4. 在"名称"框中输入新角色的名称。
  5. 单击"添加"将成员添加到"标准角色"列表中，然后单击要添加的一个或多个用户。（可选）
  只有选定数据库中的用户才能被添加到角色中。
  
  对象权限
  处理数据或执行过程时需要称为对象权限的权限类别：
  · select、insert、update 和 delete 语句权限，它们可以应用到整个表或视图中。
  · select 和 update 语句权限，它们可以有选择性地应用到表或视图中的单个列上。
  · select 权限，它们可以应用到用户定义函数。
  · insert 和 delete 语句权限，它们会影响整行，因此只可以应用到表或视图中，而不能应用到单个列上。
  
• [1] [2] [3] [4] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• SQL安全设置攻略 相关文章：
• ·《鬼舞者3》中文功略(PS2) - 其他电视游戏攻略秘籍
• ·《真?三国无双3》月英使用心得 - 真三国无双4攻略秘籍 - 真三国无双4
• ·真三国无双3 最强武器 - 真三国无双4攻略秘籍 - 真三国无双4
• ·功夫皇帝方世玉 - 游戏攻略
• ·魔法门6攻略补遗
• ·《生化危机2》美版金手指(PS2) - 生化危机4攻略秘籍 - 生化危机4
• ·马克思佩恩2-剧情攻略
• ·金融帝国2 攻略指引 - 游戏攻略
• ·《牧场物语》金手指（GBA） - 牧场物语攻略秘籍 - 牧场物语
• ·魔法门7 攻略解析
• SQL安全设置攻略 相关软件
• ·《真三国无双3》电子攻略
• ·计算机安全与故障攻略 V1.0
• ·《地城领主》游侠版攻略电子书
• ·《古墓丽影》系列全攻略
• ·《地牢围攻2》图文全攻略宝典
• ·游戏攻略秘籍（不系之舟收藏版）
• ·《神秘岛5:时代之末》超完美攻略集
• ·怪怪水族箱+完全图文攻略
• ·windowsxp全攻略－应用篇
• ·Win2000 服务器设置全攻略

上一篇:戴尔老板神秘抵沪 联想戴尔全球对抗战在即

下一篇:Apache 移动宿主目录到不同的网站服务器

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐