防范SQL指令植入式攻击

最新推荐文章于 2019-04-21 18:43:16 发布
最新推荐文章于 2019-04-21 18:43:16 发布
阅读量300 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014739788/article/details/24459733
版权

什么是SQL 指令植入式攻击? 
在设计或者维护 Web 网站时,你也许担心它们会受到某些卑鄙用户的恶意攻击。的确,如今的 Web 网站开发者们针对其站点所在操作系统平台或Web 服务器的安全性而展开的讨论实在太多了。不错,IIS 服务器的安全漏洞可能招致恶意攻击;但你的安全检查清单不应该仅仅有 IIS 安全性这一条。有些代码,它们通常是专门为数据驱动(data-driven) 的 Web 网站而设计的,实际上往往同其它 IIS 漏洞一样存在严重的安全隐患。这些潜伏于代码中的安全隐患就有可能被称为“SQL 指令植入式攻击” (SQL injection) 的手段所利用而导致服务器受到攻击。 
SQL 指令植入式攻击技术使得攻击者能够利用 Web 应用程序中某些疏于防范的输入机会动态生成特殊的 SQL 指令语句。举一个常见的例子: 
某 Web 网站采用表单来收集访问者的用户名和密码以确认他有足够权限访问某些保密信息,然后该表单被发送到 Web 服务器进行处理。接下来,服务器端的ASP 脚本根据表单提供的信息生成 SQL 指令语句提交到 SQL 服务器,并通过分析 SQL 服务器的返回结果来判断该用户名/密码组合是否有效。 
为了实现这样的功能,Web 程序员可能会设计两个页面:一个 HTML 页面 (Login.htm) 用于登录,另一个ASP 页面 (ExecLogin.asp) 用于验证用户权限(即向数据库查询用户名/密码组合是否存在)。具体代码可能象这样: 
Login.htm (HTML 页面)

<form action="ExecLogin.asp" method="post"> 
Username: <input type="text" name="txtUsername"><br> 
Password: <input type="password" name="txtPassword"><br> 
<input type="submit"> 
</form>

ExecLogin.asp (ASP 页面)

<% 
Dim p_strUsername, p_strPassword, objRS, strSQL

p_strUsername = Request.Form("txtUsername") 
p_strPassword = Request.Form("txtPassword")

strSQL = "SELECT * FROM tblUsers " & _ 
"WHERE Username=''" & p_strUsername & _ 
"'' and Password=''" & p_strPassword & "''"

Set objRS = Server.CreateObject("ADODB.Recordset") 
objRS.Open strSQL, "DSN=..."

If (objRS.EOF) Then 
Response.Write "Invalid login." 
Else 
Response.Write "You are logged in as " & objRS("Username") 
End If

Set objRS = Nothing 
%>

乍一看,ExecLogin.asp 的代码似乎没有任何安全漏洞,因为用户如果不给出有效的用户名/密码组合就无法登录。然而,这段代码偏偏不安全,而且它正是SQL 指令植入式攻击的理想目标。具体而言,设计者把用户的输入直接用于构建SQL 指令,从而使攻击者能够自行决定即将被执行的 SQL 指令。例如:攻击者可能会在表单的用户名或密码栏中输入包含“ or ”和“=” 等特殊字符。于是,提交给数据库的 SQL 指令就可能是:

SELECT * FROM tblUsers WHERE Username='''' or ''''='''' and Password = '''' or ''''=''''

这样,SQL 服务器将返回 tblUsers 表格中的所有记录,而 ASP 脚本将会因此而误认为攻击者的输入符合 tblUsers 表格中的第一条记录,从而允许攻击者以该用户的名义登入网站。 
SQL 指令植入式攻击还有另一种形式,它发生在 ASP 服务器根据 querystring 参数动态生成网页时。这里有一个例子,此 ASP 页面从 URL 中提取出 querystring 参数中的 ID 值,然后根据 ID 值动态生成后继页面:

<% 
Dim p_lngID, objRS, strSQL 
p_lngID = Request("ID")

strSQL = "SELECT * FROM tblArticles WHERE ID=" & p_lngID

Set objRS = Server.CreateObject("ADODB.Recordset") 
objRS.Open strSQL, "DSN=..."

If (Not objRS.EOF) Then Response.Write objRS("ArticleContent")

Set objRS = Nothing 
%>

ymuouboh
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL 注入式攻击的终极防范
10-30
SQL注入式攻击是一种常见的网络安全威胁,它利用了程序员在编写SQL查询时未能充分过滤或验证用户输入的问题。攻击者可以通过构造特殊的输入,使得查询语句的含义发生变化,从而执行恶意的数据库操作,如窃取数据、...
防范SQL注入式攻击
10-29
SQL注入式攻击是利用是指利用设计上的漏洞,在目标服务器上运行Sql命令以及进行其他方式的攻击动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。
植入式攻击入侵检测解决方案
weixin_33845881的博客
05-14 109
植入式攻击入侵检测解决方案 http://netkiller.github.io/journal/security.implants.html Mr.Neo Chen(陈景峰),netkiller, BG7NYT 中国广东省深圳市龙华新区民治街道溪山美地518131+8613113668890+867552981208...
怎么发现植入式攻击入侵并解决
clpgx0770的博客
01-06 145
攻击网站的形式有很多种,我们可能在不知不觉中网站就已经被攻击,并且挂入木马,而我们却毫无察觉。最近一则新闻报道一男子收到一条短信之后进行了回复,结果在短短几小时内银行卡内现金分多次被转走。这个...
防范SQL指令植入式***
weixin_33778544的博客
08-31 71
什么是SQL 指令植入式***?   在设计或者维护Web 网站时,你也许担心它们会受到某些卑鄙用户的恶意***。的确,如今的 Web 网站开发者们针对其站点所在操作系统平台或Web 服务器的安全性而展开的讨论实在太多了。不错,IIS 服务器的安全漏洞可能招致恶意***;但你的安全检查清单不应该仅仅有 IIS 安全性这一条。有些代码,它们通常是专门为数据驱动(data-d...
植入代码攻击的几种方法和技巧
ChopperCP的博客
04-21 2257
什么是SQL 指令植入式攻击
10-27 194
<br />在设计或者维护Web网站时,你也许担心它们会受到某些卑鄙用户的恶意攻击。的确,如今的Web网站开发者们针对其站点所在操作系统平台或Web 服务器的安全性而展开的讨论实在太多了。不错,IIS 服务器的安全漏洞可能招致恶意攻击;但你的安全检查清单不应该仅仅有 IIS 安全性这一条。有些代码,它们通常是专门为数据驱动(data-driven) 的 Web 网站而设计的,实际上往往同其它IIS漏洞一样存在严重的安全隐患。这些潜伏于代码中的安全隐患就有可能被称为“SQL指令植入式攻击” (SQL inje
SQL指令植入式攻击的危害及其防范措施
weixin_30656145的博客
01-17 83
在设计或者维护Web网站时,你也许担心它们会受到某些卑鄙用户的恶意攻击。的确,如今的Web网站开发者们针对其站点所在操作系统平台或Web 服务器的安全性而展开的讨论实在太多了。不错,IIS 服务器的安全漏洞可能招致恶意攻击;但你的安全检查清单不应该仅仅有 IIS 安全性这一条。有些代码,它们通常是专门为数据驱动(data-driven) 的 Web 网站而设计的,实际上往往同其它IIS漏洞一样存在...
关于SQL指令植入式攻击的危害与防范措施
cuanji3287的博客
01-12 123
什么是SQL 指令植入式攻击?   在设计或者维护Web网站时,你也许担心它们会受到某些卑鄙用户的恶意攻击。的确,如今的Web网站开发者们针对其站点所在操作系统平台或Web 服务器的安全性而展开的讨论实在太多了。不错,IIS ...
web开发常见安全问题(SQL注入、XSS攻击、CSRF攻击
ItBJLan的博客
05-23 932
SQL注入        SQL攻击SQL injection),简称注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。原因        在应用程序中若有下列状况,则可能应用程序正暴露在SQL Injection的高风险情况下...
ASP.NET防范SQL注入式攻击的方法
01-02
一、什么是SQL注入式攻击?  SQL注入式攻击就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,...
SQL植入式网络攻击防范技术研究.pdf
09-19
SQL植入式网络攻击是一种针对基于SQL(Structured Query Language)的数据库系统的网络安全威胁。攻击者通过在Web应用程序的用户输入字段中插入恶意SQL代码,利用程序设计的漏洞,篡改或控制数据库,获取敏感信息,...
NET语言程序设计课件-第2章 Visual C#.NET语法基础.ppt
08-08
Visual C# .NET是一门面向对象的程序设计语言,是当前流行的.NET系列的语言。 本课程以Visual Studio为程序设计环境,对C#进行了全面阐述。 本电子课件适用于课程讲解或者课程分析参考使用。
[毕业设计]PHP图书借阅与归还管理系统(源代码+论文).zip
08-08
[毕业设计]PHP图书借阅与归还管理系统(源代码+论文)
ssm_012_mysql宝康药房销售管理系统.zip
08-08
随着我国市场经济的蓬勃发展和人们对医药产品需求的迅速增加,医药销售行业正处于一个高速发展的时期。行业的快速发展必然导致竞争的加剧,面对药品销售业日益严酷的竟争现实,加强管理、提高工作效率和改善服务质量成了急待解决的问题。而解决这些问题的关键措施之一就是利用计算机等现代信息技术,建立实用、先进、高效的药房销售管理系统,引进创新的经营机制,实现药品销售过程的全面信息化管理,以适应企业生存和发展的新形势。因此,开发一个宝康药房销售管理系统是十分必要的。 根据需求,确定系统采用JSP技术,SSM框架,JAVA作为编程语言,MySQL作为数据库。整个系统要操作方便、易于维护、灵活实用。主要实现了频道维护、新闻维护、药品维护、订单维护、系统管理等功能。
excel基本操作.pptx
08-08
excel基本操作.pptx
[毕业设计]PHP物业管理系统网站开发(源代码+论文).zip
08-08
[毕业设计]PHP物业管理系统网站开发(源代码+论文)
程序开发编程重要培训资料分享2程序开发编程开发技术资料.zip
最新发布
08-08
程序开发编程重要培训资料分享2程序开发编程开发技术资料.zip
防范ASP中的SQL注入攻击策略
"ASP中SQL注入式攻击防范" 在ASP(Active Server Pages)开发的Web应用中,SQL注入式攻击是一种常见的安全威胁。攻击者利用编程设计中的疏漏,通过在Web表单输入域或者查询字符串中嵌入恶意SQL代码,使得这些恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值