|
日前SQL INJECTION的攻擊測試愈演愈烈����,很多大型的網(wǎng)站和論壇都相繼被注入�����。這些網(wǎng)站一般使用的多為SQL SERVER數(shù)據(jù)庫�,正因?yàn)槿绱耍芏嗳碎_始懷疑SQL SERVER的安全性��。其實(shí)SQL SERVER 2000已經(jīng)通過了美國政府的C2級(jí)安全認(rèn)證-這是該行業(yè)所能擁有的最高認(rèn)證級(jí)別�,所以使用SQL SERVER還是相當(dāng)?shù)陌踩摹.?dāng)然和ORCAL�����、DB2等還是有差距,但是SQL SERVER的易用性和廣泛性還是能成為我們繼續(xù)使用下去的理由�����。那怎么樣才能使SQL SERVER的設(shè)置讓人使用的放心呢�?
第一步肯定是打上SQL SERVER最新的安全補(bǔ)丁���,現(xiàn)在補(bǔ)丁已經(jīng)出到了SP3�。下載地址:http://www.microsoft.com/sql/downloads/2000/sp3.asp ����。如果這一步都沒有做好,那我們也沒有繼續(xù)下去的必要了�����。
第二步是修改默認(rèn)的1433端口�����,并且將SQL SERVER隱藏�����。這樣能禁止對試圖枚舉網(wǎng)絡(luò)上現(xiàn)有的 SQL Server 客戶端所發(fā)出的廣播作出響應(yīng)。另外����,還需要在TCP/IP篩選中將1433端口屏蔽掉,盡可能的隱藏你的SQL SERVER數(shù)據(jù)庫�����。這樣子一但讓攻擊創(chuàng)建了SQL SERVER的賬號(hào)�,也不能馬上使用查詢分析器遠(yuǎn)程登陸來進(jìn)行下一步的攻擊。單從ASP���,PHP等頁面構(gòu)造惡意語句的話��,還有需要查看返回值的問題�����,總比不上直接查詢分析器來得利落�����。所以我們首先要做到即使讓別人注入了��,也不能讓攻擊者下一步做得順當(dāng)���。修改方法:企業(yè)管理器 --> 你的數(shù)據(jù)庫組 --> 屬性 --> 常規(guī) --> 網(wǎng)絡(luò)配置 --> TCP/IP --> 屬性 ����,在這兒將你的默認(rèn)端口進(jìn)行修改�,和SQL SERVER的隱藏。
第三步是很重要的一步�����,SQL INJECTION往往在WEB CODE中產(chǎn)生��。而做為系統(tǒng)管理員或者數(shù)據(jù)庫管理員����,總不能常常的去看每一段代碼����。即使常常看代碼�����,也不能保證我們在上面的疏忽。那怎么辦��?我們就要從數(shù)據(jù)庫角色著手��,讓數(shù)據(jù)庫用戶的權(quán)限劃分到最低點(diǎn)��。SQL SERVER的默認(rèn)權(quán)限讓人真的很頭疼�����,權(quán)限大得非常的高�����,權(quán)限小的又什么都做不了�,SYSADMIN和db_owner真是讓人又愛又恨。攻擊者一但確認(rèn)了網(wǎng)站存在SQL INJECTION漏洞����,肯定有一步操作步驟就是測試網(wǎng)站的SQL SERVER使用者具有多大的權(quán)限。一般都會(huì)借助select IS_SRVROLEMEMBER(’sysadmin’)�����,或者select IS_MEMBER(’db_owner’)���,再或者用user = 0(讓字符和數(shù)字進(jìn)行比較���,SQL SERVER就會(huì)提示了錯(cuò)誤信息���,從該信息中即可知道一些敏感信息)等語句進(jìn)行測試。方法還有����,我也不敢多說了。其一怕錯(cuò)�,其二怕聯(lián)盟中的人扁。在當(dāng)前����,如果網(wǎng)站的數(shù)據(jù)庫使用者用的是SA權(quán)限�����,再加上確認(rèn)了WEB所處在的絕對路徑�����,那么就宣告了你的網(wǎng)站的OVER�。db_owner權(quán)限也一樣����,如果確認(rèn)了絕對路徑�,那么有50%的機(jī)會(huì)能給你的機(jī)器中上WEB 方式的木馬,如海陽等�。所以這兒我們確認(rèn)了一點(diǎn),我們必須要?jiǎng)?chuàng)建自已的權(quán)限����,讓攻擊者找不著下嘴的地方。在這兒引用一個(gè)SQL SERVER聯(lián)機(jī)幫助中的例子:
創(chuàng)建 SQL Server 數(shù)據(jù)庫角色的方法(企業(yè)管理器)
創(chuàng)建 SQL Server 數(shù)據(jù)庫角色
1. 展開服務(wù)器組�����,然后展開服務(wù)器��。
2. 展開"數(shù)據(jù)庫"文件夾�����,然后展開要在其中創(chuàng)建角色的數(shù)據(jù)庫��。
3. 右擊"角色"�����,然后單擊"新建數(shù)據(jù)庫角色"命令。
4. 在"名稱"框中輸入新角色的名稱���。
5. 單擊"添加"將成員添加到"標(biāo)準(zhǔn)角色"列表中���,然后單擊要添加的一個(gè)或多個(gè)用戶。(可選)
只有選定數(shù)據(jù)庫中的用戶才能被添加到角色中���。
本文出自:億恩科技【www.itdijia.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)�����!虛擬主機(jī)域名注冊頂級(jí)提供商���!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
