SQL注入漏洞在網站漏洞裡面屬於高危漏洞,排列在前三,受影響範圍較廣,
像asp、.net、PHP、java、等程序語言編寫的代碼,都存在著sql注入漏洞,那麼如何檢測網
站存在sql注入漏洞?
SQL注入漏洞測試方法
在程序代碼裡不管是get提交,post提交,cookies的方式,都可以有隨意控制參數的一個參數
值,通過使用sql注入工具,經典的sqlmap進行檢測與漏洞利用,也可以使用一些國內的SQL
代碼注入工具,最簡單的安全測試方法就是利用數據庫的單引號, AND 1=1 AND 1=2等等的
字符型注入來進行測試sql注入漏洞。
值,通過使用sql注入工具,經典的sqlmap進行檢測與漏洞利用,也可以使用一些國內的SQL
代碼注入工具,最簡單的安全測試方法就是利用數據庫的單引號, AND 1=1 AND 1=2等等的
字符型注入來進行測試sql注入漏洞。
SQL注入漏洞解剖
在網站的程序代碼裡,有很多用戶需要提交的一些參數值,像get、post的數據提交的時候,
有些程序員沒有對其進行詳細的安全過濾,導致可以直接執行SQL語句,在提交的參數里,
可以摻入一些惡意的sql語句命令,比如查詢admin的賬號密碼,查詢數據庫的版本,以及
查詢用戶的賬號密碼,執行寫入一句話木馬到數據庫配置文件,執行系統命令提權,等等.
有些程序員沒有對其進行詳細的安全過濾,導致可以直接執行SQL語句,在提交的參數里,
可以摻入一些惡意的sql語句命令,比如查詢admin的賬號密碼,查詢數據庫的版本,以及
查詢用戶的賬號密碼,執行寫入一句話木馬到數據庫配置文件,執行系統命令提權,等等.
SQL注入漏洞修復
在最底層的程序代碼裡,進行sql漏洞修補與防護,在代碼裡添加過濾一些非法的參數,服
務器端綁定變量,SQL語句標準化,是防止網站被sql注入攻擊的最好辦法。eSafe白帽資安網公司
是一家專注於:網站安全、主機安全、網站安全檢測、網站漏洞修復,滲透測試,安全服務
於一體的網絡安全服務提供商。
務器端綁定變量,SQL語句標準化,是防止網站被sql注入攻擊的最好辦法。eSafe白帽資安網公司
是一家專注於:網站安全、主機安全、網站安全檢測、網站漏洞修復,滲透測試,安全服務
於一體的網絡安全服務提供商。
一、程序代碼裡的所有查詢語句,使用標準化的數據庫查詢語句API接口,設定語句的參數
進行過濾一些非法的字符,防止用戶輸入惡意的字符傳入到數據庫中執行sql語句。
進行過濾一些非法的字符,防止用戶輸入惡意的字符傳入到數據庫中執行sql語句。
二、對用戶提交的的參數安全過濾,像一些特殊的字符(,()*&……%#等等)進行字符
轉義操作,以及編碼的安全轉換。
轉義操作,以及編碼的安全轉換。
三、網站的代碼層編碼盡量統一,建議使用utf8編碼,如果代碼裡的編碼都不一樣,會導致
一些過濾直接被繞過。eSafe白帽資安網公司是一家專注於:網站安全、主機安全、網站安全
檢測、網站漏洞修復,滲透測試,安全服務於一體的網絡安全服務提供商。
一些過濾直接被繞過。eSafe白帽資安網公司是一家專注於:網站安全、主機安全、網站安全
檢測、網站漏洞修復,滲透測試,安全服務於一體的網絡安全服務提供商。
四、網站的數據類型,必須確定,是數字型,就是數字型,字符型就是字符型,數據庫裡的
存儲字段類型也設置為ini型。
存儲字段類型也設置為ini型。
五、對用戶的操作權限進行安全限制,普通用戶只給普通權限,管理員後台的操作權限要放
開,盡量減少對數據庫的惡意攻擊。
開,盡量減少對數據庫的惡意攻擊。
六、網站的報錯信息盡量不要返回給客戶端,比如一些字符錯誤,數據庫的報錯信息,盡可
能的防止洩露給客戶端。
能的防止洩露給客戶端。
