从软件开发角度谈SQL注入攻击的防范
摘要:本文主要从软件开发角度谈了SQL注入攻击的防范问题,首先对SQL注入攻击的手段及步骤进行了介绍,接着从软件开发的角度来介绍防范SQL注入攻击的方法。本文的探讨对于做好方法SQL的注入攻击具有重要的价值。
关键词:软件开发  SQL注入  数据库
SQL注入攻击分析应用程序的编码,在发现数据库的漏洞之后,通过提交SQL的查询密码给服务器,得到Web页面返回的数据,根据这得到的结果,从而利用漏洞获得数据库中的重要关键性的数据或者相应的权限。而这种注入攻击的手段通常都是从正常的端口进入,所以防火墙通常不会对其做出有效的反映,只有在事后通过IIS管理日志的分析才能发现。当下很多的中小型的网站主要就是利用托管的方式管理,因而采用分析日志的方式来对SQL注入攻击进行防范是不太现实的,如果一定要做出防范,需要在程序设计的过程中做出专门的处理。本文主要对SQL注入攻击进行相关的论述,除了介绍了一些特定的常见的步骤和手段之外,还主要从开发软件的角度介绍了相应的方法。
1 SQL注入攻击的手段和步骤介绍
1.1 步骤简介
通过上面的介绍我们对SQL注入攻击有了一定的了解,无论在步骤还是手段的方面都有了一个粗略的认识,下面我们来细致的讲述下这种攻击方式的步骤:
a.事先编辑好特殊的SQL语言,然后利用这种语句去寻注入放面的漏洞;
b.利用发现的注入漏洞来尝试着进入数据库,从而有效的获取数据库中的关键信息;
c.利用上面发现的数据库中的关键信息,通过对其进行仔细的分析,从而获得管理员的相关权限为sa,为后续的攻击做好准备。实施直接控制;SQL Server 2000为例,如果实施注入攻击的数据库是SQL Server 2000,且数据库用户为sa,则可以直接添加管理员账号、开放3389远程终端服务、生成文件等命令。
d.间接进行控制。间接控制主要是指通过SQL注入点不能执行DOS等命令,只能进行数据字段内容的猜测。在Web应用程序中,为了方便用户的维护,一般都提供了后台管理功能,其后台管理验证用户和口令都会保存在数据库中,通过猜测可以获取这些内容,如果获取的是明文的口令,则可以通过后台中的上传等功能上传网页木马实施控制,如果口令是明文的,则可以sql软件长什么样
通过暴力破解其密码。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。