一个防御SQL注入攻击时需要注意的问题

最新推荐文章于 2020-09-16 16:45:06 发布
最新推荐文章于 2020-09-16 16:45:06 发布
阅读量95 收藏
点赞数
文章标签: SQL SQL Server IIS 防火墙 JavaScript ViewUI

SQL注入算是一个极为普通的问题了,解决方案也多如牛毛,但是新的注入方式仍然层出不穷。

目前很多IIS防火墙其实质就是一个ISAPI Filter,针对SQL注入攻击的防御实质就是关键字过滤,这一点在我以前的随笔中提到的在开发的Web Server Guard中也是这样操作的。但目前大部分的IIS防火墙都存在一个漏洞:如果关键字包含未转义百分比符号 (%) ,那么将会绕过这些IIS防火墙的请求过滤和拦截,包含IIS 7.0的Request Filter。

<noscript type="text/javascript"></noscript> <noscript src="http://pagead2.googlesyndication.com/pagead/show_ads.js" type="text/javascript"></noscript>

因为这类防火墙都是查找位于URL/Form/Cookie中的关键字,比如Exec。但是如果你传入E%xec,那么将不会被过滤,这个问题在目前已知的大部分IIS防火墙(具体的就不介绍了,以免存在广告之嫌,Google搜索即可知道)中都存在,很容易被轻易穿透。包含微软为ASP提供的一组安全过滤函数里面同样存在这个问题。

URLScan同样存在这个问题,但是URLScan 3.0beta我还没有测试过。所以大家在开发ISAPI Request Filter中要注意这一点。

http://www.ietf.org/rfc/rfc2396.txt

IIS 7.0修补程序:

http://www.microsoft.com/downloads/details.aspx?FamilyID=9bf0adf3-20ce-4772-8304-83b68983c1fa&DisplayLang=zh-cn

http://support.microsoft.com/kb/957508/en-us

 

本文转自 博客园

iteye_15010
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql手工注入绕过防火墙_mssql手工注入及绕过术
weixin_42466518的博客
02-06 470
报错注入:-例子:http://www.kfgtfcj.xxx.cn/lzygg/Zixun_show.aspx?id=1【1】首先爆版本:http://www.kfgtfcj.xxx.cn/lzygg/Zixun_show.aspx?id=1 and @@version>0报错信息:在将 nvarchar 值 'Microsoft SQL Server 2008 R2 (RTM) - 10...
SQL注入攻击防御详细讲解
weixin_47450720的博客
03-27 1326
攻击者可以使用存储过程来执行复杂的SQL语句。例如,攻击者可以通过创建存储过程来将恶意SQL语句存储在数据库中,并在需要执行该存储过程。对用户输入进行严格的过滤,可以去除所有可能导致SQL注入攻击的字符。使用参数化查询或预编译语句,将用户输入与SQL语句分开。参数化查询或预编译语句可以将用户输入与SQL语句分开,从而防止SQL注入攻击。使用参数化查询或预编译语句,将用户输入与SQL语句分开。使用参数化查询或预编译语句,将用户输入与SQL语句分开。使用参数化查询或预编译语句,将用户输入与SQL语句分开。
防止SQL注入
有志者事竟成
08-30 456
防止SQL注入,我们需要注意以下几个要点: 1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和 双"-"进行转换等。 2.永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。 3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。 4.不要把机密信息直接存放,加密或者hash掉
数据库防火墙如何防范SQL注入行为
weixin_30879169的博客
10-17 578
SQL注入是当前针对数据库安全进行外部攻击的一种常见手段。现有主流应用大多基于B/S架构开发,SQL注入攻击方式正是利用web层和通讯层的缺陷对数据库进行外部恶意攻击。将SQL命令巧妙的插入通讯的交互过程中,如:Web表单的递交、域名输入、页面请求等。通过硬性植入的查询语句攻击数据库,以期利用服务器自身缺陷执行恶意的SQL命令,从而入侵数据库。因此通过SQL注入攻击方式产生的安全事件也在增多,对...
sql注入问题引起的思考
u014257959的博客
10-20 833
前几天,公司给我了份服务器上测试的漏洞需要修复。 我第一次看到了这个词:sql注入漏洞。 后面去上面了解了下这个sql注入漏洞,通过是指通过客户输入到后台的那些能到数据库得到数据的位置上,恶性的输入一些对数据有害的操作。 网上: SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是
SQL注入攻击
JavaEE_ZCR的博客
09-16 324
什么是SQL注入攻击 就是利用sql语句的漏洞来对系统进行攻击,SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问防止SQL注入攻击没什么区别,所以市面的防火墙都不会对SQL注入发出警报,如果管理员没查看ⅡS日志的习惯,可能被入侵很长间都不会发觉。但是,SQL注入的手法相当灵活,在注入的候会碰到很多意外的情况,需要构造巧妙的SQL语句,从而成功获取想要的数据. 例如: 某个网站的登录验证的SQL查询代码为: String sqlLogin= “SELECT * FROM users
SQL注入攻击防御
07-17
另外,《SQL注入攻击防御》还专门从代码层和系统层的角度介绍了避免SQL注入的各种策略和需要考虑的问题。 《SQL注入攻击防御》主要内容: SQL注入一直长期存在,但最近有所增强。《SQL注入攻击防御》包含所有...
SQL注入攻击防御-第2版
10-11
主要内容: ·发现、确认和自动发现SQL注入漏洞 ·通过SQL注入利用漏洞 ·在代码中发现SQL注入的方法和技巧 ·利用操作系统的漏洞 ·在代码层和平台层防御SQL注入攻击 ·确定是否已经遭到SQL注入攻击
SQL注入攻击防御技术白皮书.pdf
10-16
因此,防御SQL注入攻击是非常重要的。 3.IPS设备对于SQL注入攻击防御 IPS设备可以有效地防御SQL注入攻击。IPS设备可以检测和阻止恶意的SQL语句,防止攻击者获取敏感信息或篡改Web数据。 3.1 IPS设备SQL注入防御...
SQL注入攻击防御 第2版》PDF版本下载.txt
07-17
### SQL注入攻击防御知识点详解 #### 一、SQL注入概述 SQL注入是一种常见的Web应用程序安全漏洞,攻击者通过在应用程序的输入字段中插入恶意SQL语句,利用这些语句来操控数据库执行非授权操作。这种攻击方式可以...
SQL注入攻击防御》PDF版本下载.txt
07-17
为了有效防范SQL注入攻击,开发者需要采取一系列的安全措施: #### 1. **参数化查询** 使用预编译语句或参数化查询可以有效地防止SQL注入攻击。这种方式确保了用户输入的数据不会被视为SQL命令的一部分。 #### 2. ...
SQL注入常见的安全问题
weixin_41374755的博客
03-08 641
SQL注入一个安全问题,因为应用程序使用拼接SQL的技术而成为hacker攻击后台的方式。下面就介绍一下2种SQL注入,及解决SQL注入的方法。 1.基于 1=1 总为真 SELECT * FROM Users WHERE UserId = 105 OR 1=1; 只需在输入字段中插入105或1=1,就可以访问数据库中的所有用户名和密码。 2.标题基于批处理SQL SELECT * FRO...
一条看似不合理SQL和10个合理的解释
杨建荣的学习笔记
12-09 642
,这是学习笔记的第2172篇文章读完需要15分钟速读仅需5分钟有一天看到了一个开发同学提的问题,感觉蛮有意思,就稍花了些间总结了下,问题描述如下:开发的候碰到类似这么一个问题:m...
防止SQL注入,我们需要注意以下几个要点:
qq_35808818的博客
05-23 548
1、永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;
防止SQL注入和XSS攻击Filter
u014704496的专栏
06-12 624
nbsp;今天系统使用IBM的安全漏洞扫描工具扫描出一堆漏洞,下面的filter主要是解决防止SQL注入和XSS攻击 一个是Filter负责将请求的request包装一下。 一个是request包装器,负责过滤掉非法的字符。 将这个过滤器配置上以后,世界总算清净多了。。 代码如下: [java] view plaincopy im
聚类算法-一种无监督学习方法.docx
最新发布
08-12
聚类算法是一种无监督学习方法,用于将数据集中的数据点自动分组到不同的类别中,这些类别也称为“簇”或“群”。聚类的目标是让同一簇内的数据点尽可能相似,而不同簇之间的数据点尽可能不相似。聚类算法广泛应用于多种领域,如数据挖掘、模式识别、图像分析、信息检索等。 聚类算法的基本概念 无监督学习:聚类算法不需要事先标记数据点的类别标签,而是根据数据本身的相似性来分组。 相似性度量:聚类算法依赖于某种相似性或距离度量来决定数据点之间的相似程度。常用的度量包括欧氏距离、曼哈顿距离等。 目标函数:大多数聚类算法都会尝试最小化某种目标函数,例如簇内的平方误差和(SSE)。 常见的聚类算法 K-Means K-Means 是一种原型聚类算法,它通过迭代地将数据点分配到最近的质心来形成簇,并重新计算每个簇的质心,直到质心不再显著变化为止。 在 Python 的 scikit-learn 库中,可以通过 KMeans 类实现 K-Means 聚类。 层次聚类 层次聚类构建一个树状图(称为树状图或 dendrogram),显示数据点是如何逐渐合并成簇的。 这种算法可以是凝聚型(自底向上)或分裂型(自顶向下)。
45ft集装箱模型3D图纸 STEP格式.zip
08-12
45ft集装箱模型3D图纸 STEP格式.zip
Spring Boot网吧管理系统.zip
08-12
该系统严格按照需求分析制作相关模块,并利用所学知识尽力完成,但是本人由于学识浅薄,无法真正做到让该程序可以投入市场使用,仅仅简单实现部分功能,希望日后还能改善。 本系统具有以下优点: 该系统具有较高的适用性,选用B/S结构,可以在绝大部分个人平台上使用该系统。 系统将用户权限进行划分,管理员,网管和会员都能看到及操作的信息不一样,三者具备不同的操作权限。 该系统操作界面简单明了,大部分人都可以正常使用。 但也存在以下问题需要改进: 运行窗口不能被刷新,可以改进。 系统过于简单,显示的信息有限。。 不能添加多个管理员账号,如果可以则将利于发展网吧规模,便于网吧信息集中管理。 不能实预约接待消息和网吧反馈建议,容易被忽视,不利于管理员服务客户。
SQL注入攻击防御:实战指南
"SQL注入攻击防御 (第2版),作者Justin Clarke,由施宏斌和叶愫翻译,清华大学出版社出版,属于安全技术经典译丛,讲述了关于SQL注入攻击的防范措施。" SQL注入攻击是一种常见的网络安全威胁,它发生在攻击者通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值