|
日前SQL INJECTION的攻擊測(cè)試愈演愈烈��,很多大型的網(wǎng)站和論壇都相繼被注入�。這些網(wǎng)站一般使用的多為SQL SERVER數(shù)據(jù)庫(kù)����,正因?yàn)槿绱��,很多人開(kāi)始懷疑SQL SERVER的安全性����。其實(shí)SQL SERVER 2000已經(jīng)通過(guò)了美國(guó)政府的C2級(jí)安全認(rèn)證-這是該行業(yè)所能擁有的最高認(rèn)證級(jí)別�,所以使用SQL SERVER還是相當(dāng)?shù)陌踩摹.?dāng)然和ORCAL���、DB2等還是有差距���,但是SQL SERVER的易用性和廣泛性還是能成為我們繼續(xù)使用下去的理由。那怎么樣才能使SQL SERVER的設(shè)置讓人使用的放心呢��?
第一步肯定是打上SQL SERVER最新的安全補(bǔ)丁��,現(xiàn)在補(bǔ)丁已經(jīng)出到了SP3���。下載地址:http://www.microsoft.com/sql/downloads/2000/sp3.asp ����。如果這一步都沒(méi)有做好����,那我們也沒(méi)有繼續(xù)下去的必要了�。
第二步是修改默認(rèn)的1433端口��,并且將SQL SERVER隱藏��。這樣能禁止對(duì)試圖枚舉網(wǎng)絡(luò)上現(xiàn)有的 SQL Server 客戶(hù)端所發(fā)出的廣播作出響應(yīng)����。另外,還需要在TCP/IP篩選中將1433端口屏蔽掉���,盡可能的隱藏你的SQL SERVER數(shù)據(jù)庫(kù)����。這樣子一但讓攻擊創(chuàng)建了SQL SERVER的賬號(hào)��,也不能馬上使用查詢(xún)分析器遠(yuǎn)程登陸來(lái)進(jìn)行下一步的攻擊���。單從ASP�,PHP等頁(yè)面構(gòu)造惡意語(yǔ)句的話(huà)��,還有需要查看返回值的問(wèn)題�����,總比不上直接查詢(xún)分析器來(lái)得利落����。所以我們首先要做到即使讓別人注入了,也不能讓攻擊者下一步做得順當(dāng)�。修改方法:企業(yè)管理器 --> 你的數(shù)據(jù)庫(kù)組 --> 屬性 --> 常規(guī) --> 網(wǎng)絡(luò)配置 --> TCP/IP --> 屬性 ,在這兒將你的默認(rèn)端口進(jìn)行修改�����,和SQL SERVER的隱藏�。
第三步是很重要的一步,SQL INJECTION往往在WEB CODE中產(chǎn)生��。而做為系統(tǒng)管理員或者數(shù)據(jù)庫(kù)管理員����,總不能常常的去看每一段代碼。即使常�?创a,也不能保證我們?cè)谏厦娴氖韬��。那怎么辦��?我們就要從數(shù)據(jù)庫(kù)角色著手,讓數(shù)據(jù)庫(kù)用戶(hù)的權(quán)限劃分到最低點(diǎn)���。SQL SERVER的默認(rèn)權(quán)限讓人真的很頭疼�,權(quán)限大得非常的高�,權(quán)限小的又什么都做不了,SYSADMIN和db_owner真是讓人又愛(ài)又恨�。攻擊者一但確認(rèn)了網(wǎng)站存在SQL INJECTION漏洞,肯定有一步操作步驟就是測(cè)試網(wǎng)站的SQL SERVER使用者具有多大的權(quán)限����。一般都會(huì)借助select IS_SRVROLEMEMBER(’sysadmin’),或者select IS_MEMBER(’db_owner’)����,再或者用user = 0(讓字符和數(shù)字進(jìn)行比較,SQL SERVER就會(huì)提示了錯(cuò)誤信息�����,從該信息中即可知道一些敏感信息)等語(yǔ)句進(jìn)行測(cè)試�。方法還有,我也不敢多說(shuō)了���。其一怕錯(cuò)�,其二怕聯(lián)盟中的人扁。在當(dāng)前�����,如果網(wǎng)站的數(shù)據(jù)庫(kù)使用者用的是SA權(quán)限��,再加上確認(rèn)了WEB所處在的絕對(duì)路徑�����,那么就宣告了你的網(wǎng)站的OVER��。db_owner權(quán)限也一樣���,如果確認(rèn)了絕對(duì)路徑,那么有50%的機(jī)會(huì)能給你的機(jī)器中上WEB 方式的木馬�����,如海陽(yáng)等�。所以這兒我們確認(rèn)了一點(diǎn),我們必須要?jiǎng)?chuàng)建自已的權(quán)限���,讓攻擊者找不著下嘴的地方����。在這兒引用一個(gè)SQL SERVER聯(lián)機(jī)幫助中的例子:
創(chuàng)建 SQL Server 數(shù)據(jù)庫(kù)角色的方法(企業(yè)管理器)
創(chuàng)建 SQL Server 數(shù)據(jù)庫(kù)角色
1. 展開(kāi)服務(wù)器組,然后展開(kāi)服務(wù)器�����。
2. 展開(kāi)"數(shù)據(jù)庫(kù)"文件夾�,然后展開(kāi)要在其中創(chuàng)建角色的數(shù)據(jù)庫(kù)。
3. 右擊"角色"����,然后單擊"新建數(shù)據(jù)庫(kù)角色"命令。
4. 在"名稱(chēng)"框中輸入新角色的名稱(chēng)���。
5. 單擊"添加"將成員添加到"標(biāo)準(zhǔn)角色"列表中�����,然后單擊要添加的一個(gè)或多個(gè)用戶(hù)���。(可選)
只有選定數(shù)據(jù)庫(kù)中的用戶(hù)才能被添加到角色中。
本文出自:億恩科技【www.cmtents.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
