防止SQL注入攻擊的方法

攻擊者如此青睞Web攻擊的一個(gè)重要原因是它可以損害一些無辜的站點(diǎn)，并用于感染大量的受害者。事實(shí)證明，Web服務(wù)器已經(jīng)被證明是互聯(lián)網(wǎng)絡(luò)中的“軟柿子”，攻擊者們可以充分利用之。這種攻擊的唯一受害者就是用戶，因?yàn)檎怯脩粼跒g覽受到危害的網(wǎng)站時(shí)會(huì)將自己暴露給惡意代碼。然而，除了用戶之外，還有兩個(gè)受害人，即網(wǎng)站的所有者和管理員。

在近半年來的SQL注入攻擊中，這一點(diǎn)尤其明顯，在其中，后端數(shù)據(jù)庫可能被惡意代碼感染。清理這種攻擊的后遺癥是很痛苦的，有許多案例證明，清理數(shù)據(jù)庫之后，幾小時(shí)后會(huì)再次遭受攻擊。最佳的方法是預(yù)防，從一開始折庫網(wǎng)就想方設(shè)法避免遭受攻擊。

在此，筆者只是總結(jié)幾條技巧，站點(diǎn)所有者和管理員可以遵循之，便可以將遭受攻擊的機(jī)會(huì)最小化。

制定最佳方法

SQL注入攻擊并不是新東西，攻擊者們掌握這項(xiàng)技巧已經(jīng)有許多年了。近些日子，許多網(wǎng)站發(fā)表了一些文章提供了一些資源，幫助開發(fā)人員編寫安全代碼。安全管理人員應(yīng)當(dāng)制定一些通用的安全方法，下面給出三點(diǎn)建議。

一、建立參數(shù)化的存儲(chǔ)進(jìn)程；

二、最少特權(quán)連接；

三、僅對所有的存儲(chǔ)進(jìn)程授權(quán)“運(yùn)行”許可；

四、僅對應(yīng)用程序域組授予許可

除了一開始就注意安全地開發(fā)應(yīng)用程序，對現(xiàn)有的應(yīng)用程序?qū)嵤┰u估是很重要的，這包括對第三方的應(yīng)用程序�？梢岳没萜瞻l(fā)布的Scrawlr來幫助開發(fā)人員查找包含漏洞的頁面。此外，谷歌提供的ratproxy也是不錯(cuò)的選擇。

盡可能少的特權(quán)

開發(fā)人員應(yīng)當(dāng)確保Web應(yīng)用程序以最少的特權(quán)運(yùn)行，千萬不要使用管理員賬戶運(yùn)行，如避免使用db_owner 或 sysadmin等賬號運(yùn)行。

服務(wù)器日志

跟蹤日志對于診斷攻擊是很有用的。近半年以來的SQL注入攻擊都是通過惡意的HTTP請求發(fā)生的。對服務(wù)器中的URI查詢串進(jìn)行檢查可有助于確認(rèn)攻擊，并可成為日后調(diào)查的起始點(diǎn)。

第三方廠商

如果單位使用第三方開發(fā)的軟件，要確保其遵循最佳的方法。要特別關(guān)注其程序的測試，要關(guān)注其開發(fā)力量和軟件升級能力。

保護(hù)Web應(yīng)用程序

現(xiàn)在的市場上，有各種各樣的產(chǎn)品可以強(qiáng)化Web應(yīng)用程序的安全，防御一些攻擊。但這些不能成為代替開發(fā)安全程序的最佳方法和技巧。例如網(wǎng)站空間Web應(yīng)用程序防火墻中，現(xiàn)在有大量的商業(yè)產(chǎn)品可以選擇。有的防火墻，如IPS方案可有助于保護(hù)Web服務(wù)器免受攻擊，并可阻止惡意的請求，防止其訪問服務(wù)器。

對付Web威脅和SQL注入攻擊并沒有什么一招制敵的妙方。但是加強(qiáng)對用戶的教育，并實(shí)施一些行業(yè)的最佳方法，這確實(shí)可防止通過注入攻擊實(shí)施的Web損害。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]