ASP网站如何防止注入漏洞攻击
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析,构造巧妙的SQL语句,从而成功获取想要的数据。
据统计,网站用ASP+Access或SQLServer的占70%以上,PHP+MySQ占L20%,其他的不足10%。在本文,以SQL-SERVER+ASP例说明SQL注入的原理、方法与过程。(PHP注入的文章由NB联盟的另一位朋友zwell撰写的有关文章)
SQL注入攻击的总体思路是:
1、发现SQL注入位置;
2、判断后台数据库类型;
3、确定XP_CMDSHELL可执行情况
4、发现WEB虚拟目录
5、上传ASP木马;
6、得到管理员权限;
防止ASP注入攻击的分步实施提要
第一步. 使用ASP.NET 请求校验.
第二步. 使用权用约束输入.
第三步. 对不安全的输入进行编码.
第四步. 对Sql语句使用命令参数方式.
第五步. 验证ASP.NET的错误没有被返回客户端.
额外的资源
一、SQL注入漏洞的判断
一般来说,SQL注入一般存在于形如:HTTP://xxx.xxx.xxx/abc.asp...等带有参数的ASP动态网页中,有时一个动态网页中可能只有一个参数,有时可能有N个参数,有时是整型参数,有时是字符串型参数,不能一概而论。总之只要是带有参数的动态网页且此网页访问了数据库,那么就有可能存在SQL注入。如果ASP程序员没有安全意识,不进行必要的字符过滤,存在SQL注入的可能性就非常大。
为了全面了解动态网页回答的信息,首选请调整IE的配置。把IE菜单-工具-Internet选项-高级-显示友好HTTP错误信息前面的勾去掉。
为了把问题说明清楚,以下以HTTP://xxx.xxx.xxx/abc.asp...为例进行分析,YY可能是整型,也有可能是字符串。
1、整型参数的判断
当输入的参数YY为整型时,通常abc.asp中SQL语句原貌大致如下:
select * from 表名 where 字段=YY,所以可以用以下步骤测试SQL注入是否存在。
①HTTP://xxx.xxx.xxx/abc.asp...'(附加一个单引号),此时abc.ASP中的SQL语句变成了
select * from 表名 where 字段=YY',abc.asp运行异常;
②HTTP://xxx.xxx.xxx/abc.asp... and 1=1, abc.asp运行正常,而且与HTTP://xxx.xxx.xxx/abc.asp...运行结果相同;
③HTTP://xxx.xxx.xxx/abc.asp... and 1=2, abc.asp运行异常;如果以上三步全面满足,abc.asp中一定存在SQL注入漏洞。
2、字符串型参数的判断
当输入的参数YY为字符串时,通常abc.asp中SQL语句原貌大致如下:
select * from 表名 where 字段='YY',所以可以用以下步骤测试SQL注入是否存在。
①HTTP://xxx.xxx.xxx/abc.asp...'(附加一个单引号),此时abc.ASP中的SQL语句变成了
select * from 表名 where 字段=YY',abc.asp运行异常;
②HTTP://xxx.xxx.xxx/abc.asp... ... 39;1'='1', abc.asp运行正常,而且与HTTP://xxx.xxx.xxx/abc.asp...运行结果相同;
③HTTP://xxx.xxx.xxx/abc.asp... ... 39;1'='2', abc.asp运行异常;如果以上三步全面满足,abc.asp中一定存在SQL注入漏洞。
3、特殊情况的处理
有时ASP程序员会在程序员过滤掉单引号等字符,以防止SQL注入。此时可以用以下几种方法试一试。
①大小定混合法:由于VBS并不区分大小写,而程序员在过滤时通常要么全部过滤大写字符串,要么全部过滤小写字符串,而大小写混合往往会被忽视。如用SelecT代替select,SELECT等;
②UNICODE法:在IIS中,以UNICODE字符集实现国际化,我们完全可以IE中输入的字符串化成UNICODE字符串进行输入。如+ =%2B,空格=%20 等;URLEncode信息参
③ASCII码法:可以把输入的部分或全部字符全部用ASCII码代替,如U=chr
(85),a=chr(97)等,ASCII信息;
二、区分数据库服务器类型
一般来说,ACCESS与SQL-SERVER是最常用的数据库服务器,尽管它们都支持T-SQL标准,但还有不同之处,而且不同的数据库有不同的攻击方法,必须要区别对待。
1、 利用数据库服务器的系统变量进行区分SQL-SERVER有user,db_name()等系统变量,利用这些系统值不仅可以判断SQL-SERVER,而且还可以得到大量有用信息。如:
① HTTP://xxx.xxx.xxx/abc.asp... and user>0 不仅可以判断是否是SQL-SERVER,而还可以得到当前连接到数据库的用户名
②HTTP://xxx.xxx.xxx/abc.asp... ... db_name()>0 不仅可以判断是否是SQL-SERVER,而还可以得到当前正在使用的数据库名;
2、利用系统表
ACCESS的系统表是msysobjects,且在WEB环境下没有访问权限,而SQL-SERVER的系统表是sysobjects,在WEB环境下有访问权限。对于以下两条语句:
①HTTP://xxx.xxx.xxx/abc.asp... and (select count(*) from sysobjects)>0
②HTTP://xxx.xxx.xxx/abc.asp... and (select count(*) from msysobjects)>0
若数据库是SQL-SERVE,则第一条,abc.asp一定运行正常,第二条则异常;若是ACCESS则两条都会异常。
3、 MSSQL三个关键系统表
sysdatabases系统表:Microsoft SQL Server 上的每个数据库在表中占一行。最初安装 SQL Server 时,sysdatabases 包含 master、model、msdb、mssqlweb 和tempdb 数据库的项。该表只存储在 master 数据库中。 这个表保存在master数据库中,这个表中保存的是什么信息呢?这个非常重要。他是 保存了所有的库名,以及库的ID和一些相关信息。
这里我把对于我们有用的字段名称和相关说明给大家列出来。name //表示库的名字。dbid //表示库的ID,dbid从1到5是系统的。分别是:master、model、msdb、mssqlweb、tempdb 这五个库。用select * from master.dbo.sysdatabases 就可以查询出所有的库名。
好在要防止ASP.NET应用被SQL注入式攻击闯入并不是一件特别困难的事情,只要在利用表单输入的内容构造SQL命令之前,把所有输入内容过滤一番就可以了。过滤输入内容可以按多种方式进行。
⑴ 对于动态构造SQL查询的场合,可以使用下面的技术:
第一:替换单引号,即把所有单独出现的单引号改成两个单引号,防止攻击者修改SQL命令的含义。再来看前面的例子,“SELECT * from Users WHERE login = ''' or ''1''=''1' AND password = ''' or ''1''=''1'”显然会得到与“SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'”不同的结果。
第二:删除用户输入内容中的所有连字符,防止攻击者构造出类如“SELECT * from Users WHERE login = 'mas' —— AND password =''”之类的查询,因为这类查询的后半部分已经被注释掉,不再有效,攻击者只要知道一个合法的用户登录名称,根本不需要知道用户的密码就可以顺利获得访问权限。
第三:对于用来执行查询的数据库帐户,限制其权限。用不同的用户帐户执行查询、插入、更新、删除操作。由于隔离了不同帐户可执行的操作,因而也就防止了原本用于执行SELECT命令的地方却被用于执行INSERT、UPDATE或DELETE命令。
⑵ 用存储过程来执行所有的查询。SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外,它还使得数据库权限可以限制到只允许特定的存储过程执行,所有的用户输入必须遵从被调用的存储过程的安全上下文,这样就很难再发生注入式攻击了。
⑶ 限制表单或查询字符串输入的长度。如果用户的登录名字最多只有10个字符,那么不要认可表单中输入的10个以上的字符,这将大大增加攻击者在SQL命令中插入有害代码的难度。
⑷ 检查用户输入的合法性,确信输入的内容只包含合法的数据。数据检查应当在客户端和服务器端都执行——之所以要执行服务器端验证,是为了弥补客户端验证机制脆弱的安全性。
在客户端,攻击者完全有可能获得网页的源代码,修改验证合法性的脚本(或者直接删除脚本),然后将非法内容通过修改后的表单提交给服务器。因此,要保证验证操作确实已经执行,唯一的办法就是在服务器端也执行验证。你可以使用许多内建的验证对象,例如RegularExpressionValidator,它们能够自动生成验证用的客户端脚本,当然你也可以插入服务器端的方法调用。如果找不到现成的验证对象,你可以通过CustomValidator自己创建一个。
⑸ 将用户登录名称、密码等数据加密保存。加密用户输入的数据,然后再将它与数据库中保存的数据比较,这相当于对用户输入
的数据进行了“消毒”处理,用户输入的数据不再对数据库有任何特殊的意义,从而也就防止了攻击者注入SQL命令。System.Web.Security.FormsAuthentication类有一个HashPasswordForStoringInConfigFile,非常适合于对输入数据进行消毒处理。
文章发布:http://www.jdkjweb.com
ASP网站如何防止注入漏洞攻击相关推荐
- 动易html在线编辑器 漏洞,动易网站管理系统vote.asp页面存在SQL注入漏洞
动易网站管理系统vote.asp页面存在SQL注入漏洞 测试系统: 动易(PowerEasy CMS SP6 071030以下版本) 安全综述: 动易网站管理系统是一个采用 ASP 和 MSSQL 等 ...
- 对搜狐 网易和TOM三大门户网站的SQL注入漏洞检测
分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow 也欢迎大家转载本篇文章.分享知识,造福人民,实现我们中华民族伟大复兴! 对搜狐. ...
- 预防xml注入漏洞攻击_预防性编程-漏洞发生前如何修复
预防xml注入漏洞攻击 by Kurt 由库尔特 福尔摩斯(Sherlock Holmes)本来是个出色的程序员 (Sherlock Holmes would have been a brillian ...
- 网站安全之XSS漏洞攻击以及防范措施
在网站开发中,安全问题是重中之重的问题,特别像一个sql注入,XSS漏洞攻击,等的防范,如果不做好,网站将存在很大的隐患 XSS漏洞是网站漏洞中最容易出现的一种,至少现在的各大网站中基本都存在,传闻只 ...
- php通用过滤,通用的PHP防注入漏洞攻击的过滤函数代码
PHP整站防注入程序,需要在公共文件中require_once本文件,因为现在网站被注入攻击现象很严重,所以推荐大家使用,具体见如下代码. //PHP整站防注入程序,需要在公共文件中require_o ...
- metinfo mysql off_利用Sqlmap测试MetInfo企业网站管理系统MySql注入漏洞
讲了Sqlmap简单注入(access数据库)教程,这次咱说说MySql数据库 MetInfo,是一款强大的企业网站管理系统,采用PHP+Mysql架构. 叉叉下载的是MetInfo 5.1.5的免费 ...
- 拿到一个网站,怎么判断该网站是否存在sql注入漏洞?
漏洞挖掘 漏洞利用 修复漏洞 sql注入漏洞.文件操作漏洞.xss.rce.逻辑漏洞 反序列化.... sql注入漏洞: 网站的数据库 脱裤 拖取网站数据库 数据库基础: 数据库基本结构:数据库 -- ...
- 【转】基于SQL的Web系统安全防范——SQL注入漏洞
攻击研究及防范措施 SQL-Based Web System Security--Structured Query Language InjectionLeak Attack Study And De ...
- 一般网站有哪些常见漏洞?
Web应用是指采用B/S架构.通过HTTP/HTTPS协议提供服务的统称.随着互联网的广泛使用,Web应用已经融入到日常生活中的各个方面:网上购物.网络银行应用.证券股票交易.政府行政审批等等.在这些 ...
最新文章
- Linux之设置http代理
- 一个利用Dataflow实现的Actor
- 在Wireshark中查找数据包
- windows获取本地时间_如何在Windows 8中重新获得本地登录
- 解决flask端口被占用的问题
- python比flask更好的框架_(入门篇)Python框架之FastAPI——一个比Flask和Tornado更高性能的API 框架...
- Spyder远程连接矩池云
- Linux系统中的用户管理
- button 和 input 的submit ,reset的区别
- 大二期末作业(KTV点歌程序-纯java)
- repost 编程之路--一个程序员的艰辛经历
- 任天堂switch lite和switch区别
- 云原生爱好者周刊:像运行容器一样运行虚拟机
- 申请Google Play开发者账号
- JavaWeb基本概念与术语
- 基于HTML+CSS+JavaScript仿瓜子二手车官网【学生网页设计作业源码】
- 信用卡当天还款当天刷有风险吗?-民兴
- 借助CSS Shapes实现元素滚动自动环绕iPhone X的刘海 #精选JAVASCRIPTCSSCHROMECSS3APPLE
- python3问题-easy_install使用
- 博客平台:评论发布与删除、评论回复、评论点赞、举报、关注、收藏模块
热门文章
- Lenovo x230i 突然没有声音了
- 全国女子足球U13锦标赛
- 鲸会务教您如何会议摄影
- 系统win11 磁盘锁解除
- “试用期避免被辞退“ 指南攻略
- mysql索引的命中率
- 浅谈数据库并发控制 - 锁和 MVCC
- 技术文档中的各种架构图该怎么画? by彭文华
- IntelliJ IDEA 更换主题后产生Failed to create Look and Feel “com.intellij.laf.win10.WinIntelliJLaf“ bug的解决办法
- 深圳市弘辽科技:快速提高淘宝直通车关键词质量分的技巧