针对MS SQL SERVER的安全防御方案 | From: hoky.org

最新推荐文章于 2014-01-12 15:25:00 发布
最新推荐文章于 2014-01-12 15:25:00 发布
阅读量670 收藏
点赞数
分类专栏: 2技术文章 文章标签: sql server iis 防火墙 脚本 web服务 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kxlzx/article/details/185065
版权
针对MS SQL SERVER的安全防御方案

我将整个防御方案分为两个部分:防御MS SQL SERVER服务本身的漏洞解决方案、防止SQL注入脚本攻击
的解决方案。


1)防御MS SQL SERVER服务本身的漏洞解决方案

①使用网络防火墙过滤非本地对MS SQL SERVER的服务请求。
最简单的方法就是在MS SQL SERVER本地主机上安全如天网之类的个人防火墙,添加下面的规则群:
规则一:允许本机访问本地的TCP1433与UDP1434端口
规则二:阻止所有地址访问本机的TCP1433与UDP1434端口
注:规则一的优先执行级别必须比规则二高。
这样就可以了。

②定期使用MBSA扫描MS SQL SERVER的服务器,并确保MS SQL SERVER的补丁版本为最新版。
----------------------------------------------------------------------------------------------
附录:MBSA的使用说明请看:
http://demonalex.nease.net/mbsa/index.html
----------------------------------------------------------------------------------------------

③检查是否存在弱口令问题。


2)防止SQL注入脚本攻击的解决方案

①修改IIS目录的默认设置路径。

②使用SecureIIS过滤特殊字符/字符串。
----------------------------------------------------------------------------------------------
附录:特殊字符/字符串包括:

有可能被攻击者利用的SQL语句。
select、having、group、from、where、update、insert、create、exec、execute

有可能被攻击利用的扩展存储过程。
xp_、sp_

一些特殊的符号。
@、%、;、'、"、!、--、1=1
----------------------------------------------------------------------------------------------

③在IIS中设置特殊的出错信息,保证攻击者不能在出错信息中得到任何他们想需要得到的信息。
----------------------------------------------------------------------------------------------
附录:具体操作如下:
打开IIS中WEB服务的"属性"-》"主目录"一栏-》"配置..."按钮-》"应用程序调试"一栏-》选定"
发送文本错误消息给客户"-》"确定"
----------------------------------------------------------------------------------------------

④在调用数据库时尽可能不使用操作员(dbo)或sa帐号,以减低被入侵的风险性。

⑤保证网站所使用的脚本源码是保密的。

⑥加强管理员入口路径的强壮度。
kxlzx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
来自微软专家的SQL注入防范方法
weixin_33912246的博客
09-08 65
自去年下半年开始,很多网站被恶意代码说困扰,***者在动态网页的SQL数据库中注入恶意的HTML < SCRIPT>标签。这种脚本***行为在2008年第一季度开始加速传播,并继续影响有漏洞的Web应用。 这些Web应用存在以下几点共性: 使用ASP作为编程代码; 使用SQL Server数据库; 应用程序代码根据URI请求字符串生成动态SQL查询([ur...
SQL Server 2008的安全设置技巧方法详解
东方雎的专栏
11-19 2094
 服务器身份验证 MSSQL Server 2008的身份验证模式有两种:一种是Windows 身份验证模式, 另一种是SQL Server和Windows身份验证模式(即混合模式)。对大多数数据库服务器来说,有SQL Server身份验证就足够了,只可惜目前的服务器身份验证模式里没有这个选项,所以我们只能选择同时带有SQL Server和Windows身份验证的模式(混合模式)。但这样就
SQL查询语句精华使用简要 | From:hoky.org
空虚浪子心的blog
11-18 637
SQL查询语句精华使用简要一、 简单查询 简单的Transact-SQL查询只包括选择列表、FROM子句和where子句。它们分别说明所查询列、查询的表或视图、以及搜索条件等。例如,下面的语句查询testtable表中姓名为"张三"的nickname字段和email字段。select nickname,emailFROM testtablewhere name=张三(一) 选择列表选择列表(s
用注册表对系统进行全方位维护和管理 From:hoky.org
空虚浪子心的blog
11-17 998
用注册表对系统进行全方位维护和管理  在Windows 3.x中,系统是通过INI文件来登录硬件和初始化各种软件信息的,并以此建立符合要求的工作环境。到了Windows 9x时代,微软采用注册表来统一管理软硬件配置,从而大大提高了系统的稳定性和安全性,同时也使我们能更容易的对系统进行维护和管理。总的来说注册表实际上是一个庞大的数据库,它包含了应用程序、系统软硬件的全部配置信息,初始化信息及其它重要
跨站Script攻击 Author: Hoky.pRo
...::: X.U.S.T :::...
11-14 1213
每当我们想到黑客的时候,黑客往往是这样一幅画像:一个孤独的人,悄悄进入别人的服务器中,进行破坏或者窃取别人的秘密资料。也许他会更改我们的主页,甚者会窃取客户的信用卡号和密码。另外,黑客还会攻击访问我们网站的客户。与此同时,我们的服务器也成了他的帮凶。微软称这种攻击为"跨站script"攻击。而这种攻击大多数都发生在网站动态产生网页的时侯,但黑客的目标并不是你的网站,而是浏览网站的客户。跨站scri
SQL Server 中系统表的作用
HAHA
05-07 1813
www.rising.com.cn  2005-4-29 9:46:00  信息源:hoky.org sysaltfiles             主数据库 保存数据库的文件syscharsets         主数据库 字符集与排序顺序sysconfigures      主数据库 配置选项syscurconfigs      主数据库 当前配置选项sysdatabases     主数据库
HokyHoky是俄语编程语言
02-15
这里的`hoky.py`是一个转换器或者解释器,它将Hoky语言编写的源代码`script.hk`转换为Python可以理解的格式,然后由Python执行。这样的设计使得Hoky可以利用Python现有的生态系统,包括各种库和框架,从而拥有丰富的...
如何查看一个顶级域名下所有的二级域名
03-04
例如,如果我们要查找所有在`hoky.org`下的二级域名,我们就输入`ls hoky.org`。这将列出与该顶级域名相关的所有二级域名及其对应的IP地址、名称服务器等信息。 通过上述步骤,我们可以看到不同类型的DNS记录,如A...
atl110_32位&64位
02-06
ATL110是Microsoft Active Template Library (ATL)的一个版本,主要针对32位和64位的Windows操作系统。ATL是一个C++库,它为开发者提供了创建轻量级COM(Component Object Model)对象的工具。这个库特别适用于开发...
SQL Server 中各个系统表的作用
weixin_30872789的博客
01-12 50
来源:http://www.hoky.org/blog/ sysaltfiles 主数据库保存数据库的文件syscharsets 主数据库 字符集与排序顺序sysconfigures 主数据库 配置选项syscurconfigs 主数据库 当前配置选项sysdatabases 主数据库 服务器中的数据库syslanguages 主数据库 语言syslogins 主数据库 登陆帐号信息sysol...
个人安全站点汇总(随时更新)
热门推荐
BaiShi 在路上
10-14 1万+
去个人的安全小站,其实感觉蛮亲切的,去体会他们的思想,去和他们为了一个问题吵得脸红脖子粗,和他们一起呼吸,一起学习,一起前进。。。收获很多~  向他们致敬~!                                                                                                                         
个人安全站点汇总
蓝法典的专栏
02-15 3310
  http://seclab.mblogger.cn/ http://blog.xfocus.net/ 安全博客 可以看到几个牛人的BLOG  http://www.rons.net.cn/ 于洪峰  http://www.hoky.org/ hoky  http://www.netxeyes.org/ 小榕  http://seclab.mblogger.cn/xhacker 小叮当  htt
多VLAN环境中DHCP服务的实现[利用路由实现共享上网]
空虚浪子心的blog
11-18 2197
多VLAN环境中DHCP服务的实现转载:FreeXploiT  在对网络进行升级改造时,必须考虑到各个方面,而如何在多VLAN环境中实现DHCP服务就是其中之一。   原理  使用DHCP方式获取IP地址需要利用广播数据包,按正常情况,DHCP服务只能在同一广播域内实现。而VLAN的建立就是为了隔离广播包,为什么在三层交换机上可以实现DHCP的跨网段呢?这需要我们将DHCP请求的广播数据包转化为单
mt.exe.一个不错的东西,功能很强大
空虚浪子心的blog
11-17 2046
作者未知...测试环境: 主机192.168.0.1,操作系统Windows XP SP1专业版(由于系统经过自己的优化,删除了很多的功能,所以在测试的时候可能有不正确的地方) 客户机192.168.0.2,操作系统Windows 2000专业版本,对方是不怎么懂电脑的人,这个系统也已经用了1年多了,不过还是没有问题的) 网络环境:网卡,8029-8139,双机互连. MT.EXE是一个网络管理方
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值