防止SQL注入攻擊的方法

攻擊者如此青睞Web攻擊的一個(gè)重要原因是它可以損害一些無(wú)辜的站點(diǎn)，并用于感染大量的受害者。事實(shí)證明，Web服務(wù)器已經(jīng)被證明是互聯(lián)網(wǎng)絡(luò)中的“軟柿子”，攻擊者們可以充分利用之。這種攻擊的唯一受害者就是用戶(hù)，因?yàn)檎�是用�?hù)在瀏覽受到危害的網(wǎng)站時(shí)會(huì)將自己暴露給惡意代碼。然而，除了用戶(hù)之外，還有兩個(gè)受害人，即網(wǎng)站的所有者和管理員。

在近半年來(lái)的SQL注入攻擊中，這一點(diǎn)尤其明顯，在其中，后端數(shù)據(jù)庫(kù)可能被惡意代碼感染。清理這種攻擊的后遺癥是很痛苦的，有許多案例證明，清理數(shù)據(jù)庫(kù)之后，幾小時(shí)后會(huì)再次遭受攻擊。最佳的方法是預(yù)防，從一開(kāi)始折庫(kù)網(wǎng)就想方設(shè)法避免遭受攻擊。

在此，筆者只是總結(jié)幾條技巧，站點(diǎn)所有者和管理員可以遵循之，便可以將遭受攻擊的機(jī)會(huì)最小化。

制定最佳方法

SQL注入攻擊并不是新東西，攻擊者們掌握這項(xiàng)技巧已經(jīng)有許多年了。近些日子，許多網(wǎng)站發(fā)表了一些文章提供了一些資源，幫助開(kāi)發(fā)人員編寫(xiě)安全代碼。安全管理人員應(yīng)當(dāng)制定一些通用的安全方法，下面給出三點(diǎn)建議。

一、建立參數(shù)化的存儲(chǔ)進(jìn)程；

二、最少特權(quán)連接；

三、僅對(duì)所有的存儲(chǔ)進(jìn)程授權(quán)“運(yùn)行”許可；

四、僅對(duì)應(yīng)用程序域組授予許可

除了一開(kāi)始就注意安全地開(kāi)發(fā)應(yīng)用程序，對(duì)現(xiàn)有的應(yīng)用程序?qū)嵤┰u(píng)估是很重要的，這包括對(duì)第三方的應(yīng)用程序�？梢岳�用惠普發(fā)布的Scrawlr來(lái)幫助開(kāi)發(fā)人員查找包含漏洞的頁(yè)面。此外，谷歌提供的ratproxy也是不錯(cuò)的選擇。

盡可能少的特權(quán)

開(kāi)發(fā)人員應(yīng)當(dāng)確保Web應(yīng)用程序以最少的特權(quán)運(yùn)行，千萬(wàn)不要使用管理員賬戶(hù)運(yùn)行，如避免使用db_owner 或 sysadmin等賬號(hào)運(yùn)行。

服務(wù)器日志

跟蹤日志對(duì)于診斷攻擊是很有用的。近半年以來(lái)的SQL注入攻擊都是通過(guò)惡意的HTTP請(qǐng)求發(fā)生的。對(duì)服務(wù)器中的URI查詢(xún)串進(jìn)行檢查可有助于確認(rèn)攻擊，并可成為日后調(diào)查的起始點(diǎn)。

第三方廠(chǎng)商

如果單位使用第三方開(kāi)發(fā)的軟件，要確保其遵循最佳的方法。要特別關(guān)注其程序的測(cè)試，要關(guān)注其開(kāi)發(fā)力量和軟件升級(jí)能力。

保護(hù)Web應(yīng)用程序

現(xiàn)在的市場(chǎng)上，有各種各樣的產(chǎn)品可以強(qiáng)化Web應(yīng)用程序的安全，防御一些攻擊。但這些不能成為代替開(kāi)發(fā)安全程序的最佳方法和技巧。例如網(wǎng)站空間Web應(yīng)用程序防火墻中，現(xiàn)在有大量的商業(yè)產(chǎn)品可以選擇。有的防火墻，如IPS方案可有助于保護(hù)Web服務(wù)器免受攻擊，并可阻止惡意的請(qǐng)求，防止其訪(fǎng)問(wèn)服務(wù)器。

對(duì)付Web威脅和SQL注入攻擊并沒(méi)有什么一招制敵的妙方。但是加強(qiáng)對(duì)用戶(hù)的教育，并實(shí)施一些行業(yè)的最佳方法，這確實(shí)可防止通過(guò)注入攻擊實(shí)施的Web損害。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]