|
日前SQL INJECTION的攻擊測試愈演愈烈�����,很多大型的網(wǎng)站和論壇都相繼被注入��。這些網(wǎng)站一般使用的多為SQL SERVER數(shù)據(jù)庫�����,正因為如此�,很多人開始懷疑SQL SERVER的安全性�����。其實SQL SERVER 2000已經(jīng)通過了美國政府的C2級安全認(rèn)證-這是該行業(yè)所能擁有的最高認(rèn)證級別����,所以使用SQL SERVER還是相當(dāng)?shù)陌踩����。?dāng)然和ORCAL�、DB2等還是有差距,但是SQL SERVER的易用性和廣泛性還是能成為我們繼續(xù)使用下去的理由���。那怎么樣才能使SQL SERVER的設(shè)置讓人使用的放心呢��?
第一步肯定是打上SQL SERVER最新的安全補丁����,現(xiàn)在補丁已經(jīng)出到了SP3�。下載地址:http://www.microsoft.com/sql/downloads/2000/sp3.asp 。如果這一步都沒有做好�,那我們也沒有繼續(xù)下去的必要了。
第二步是修改默認(rèn)的1433端口����,并且將SQL SERVER隱藏。這樣能禁止對試圖枚舉網(wǎng)絡(luò)上現(xiàn)有的 SQL Server 客戶端所發(fā)出的廣播作出響應(yīng)��。另外����,還需要在TCP/IP篩選中將1433端口屏蔽掉��,盡可能的隱藏你的SQL SERVER數(shù)據(jù)庫��。這樣子一但讓攻擊創(chuàng)建了SQL SERVER的賬號���,也不能馬上使用查詢分析器遠(yuǎn)程登陸來進(jìn)行下一步的攻擊。單從ASP����,PHP等頁面構(gòu)造惡意語句的話,還有需要查看返回值的問題����,總比不上直接查詢分析器來得利落。所以我們首先要做到即使讓別人注入了�����,也不能讓攻擊者下一步做得順當(dāng)�����。修改方法:企業(yè)管理器 --> 你的數(shù)據(jù)庫組 --> 屬性 --> 常規(guī) --> 網(wǎng)絡(luò)配置 --> TCP/IP --> 屬性 �����,在這兒將你的默認(rèn)端口進(jìn)行修改�,和SQL SERVER的隱藏。
第三步是很重要的一步�,SQL INJECTION往往在WEB CODE中產(chǎn)生。而做為系統(tǒng)管理員或者數(shù)據(jù)庫管理員��,總不能常常的去看每一段代碼��。即使常�?创a,也不能保證我們在上面的疏忽���。那怎么辦�����?我們就要從數(shù)據(jù)庫角色著手��,讓數(shù)據(jù)庫用戶的權(quán)限劃分到最低點�。SQL SERVER的默認(rèn)權(quán)限讓人真的很頭疼�����,權(quán)限大得非常的高,權(quán)限小的又什么都做不了���,SYSADMIN和db_owner真是讓人又愛又恨��。攻擊者一但確認(rèn)了網(wǎng)站存在SQL INJECTION漏洞��,肯定有一步操作步驟就是測試網(wǎng)站的SQL SERVER使用者具有多大的權(quán)限��。一般都會借助select IS_SRVROLEMEMBER(’sysadmin’)��,或者select IS_MEMBER(’db_owner’)���,再或者用user = 0(讓字符和數(shù)字進(jìn)行比較,SQL SERVER就會提示了錯誤信息����,從該信息中即可知道一些敏感信息)等語句進(jìn)行測試。方法還有��,我也不敢多說了����。其一怕錯�,其二怕聯(lián)盟中的人扁���。在當(dāng)前,如果網(wǎng)站的數(shù)據(jù)庫使用者用的是SA權(quán)限��,再加上確認(rèn)了WEB所處在的絕對路徑����,那么就宣告了你的網(wǎng)站的OVER。db_owner權(quán)限也一樣����,如果確認(rèn)了絕對路徑,那么有50%的機會能給你的機器中上WEB 方式的木馬�����,如海陽等�。所以這兒我們確認(rèn)了一點,我們必須要創(chuàng)建自已的權(quán)限�����,讓攻擊者找不著下嘴的地方���。在這兒引用一個SQL SERVER聯(lián)機幫助中的例子:
創(chuàng)建 SQL Server 數(shù)據(jù)庫角色的方法(企業(yè)管理器)
創(chuàng)建 SQL Server 數(shù)據(jù)庫角色
1. 展開服務(wù)器組����,然后展開服務(wù)器。
2. 展開"數(shù)據(jù)庫"文件夾�����,然后展開要在其中創(chuàng)建角色的數(shù)據(jù)庫���。
3. 右擊"角色"����,然后單擊"新建數(shù)據(jù)庫角色"命令�。
4. 在"名稱"框中輸入新角色的名稱。
5. 單擊"添加"將成員添加到"標(biāo)準(zhǔn)角色"列表中���,然后單擊要添加的一個或多個用戶�����。(可選)
只有選定數(shù)據(jù)庫中的用戶才能被添加到角色中�。
本文出自:億恩科技【1tcdy.com】
服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商���!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
