当前位置:主页 > WEB > 黑客攻防 > 正文
一带一路 不好听网品牌

数据库SQL注入性攻击防御策略分析

  • 发表日期:2015-01-21 17:23 |
  • 来源 :不好听网 |
  • 责编 :苏拉 |
  • 我来投稿
  • SQL注入性攻击属于网站攻击的一种,是许多黑客常用的手段之一,这种攻击相对于密码破解、CC攻击等暴力手段更富有技术性,特别是对于很多新入行的站长开发者来说,几乎都很难分辨出来,数据库SQL注入性攻击也不像暴力攻击那么容易防御,它更多的偏向于技术手段防御。
     
    而针对语音SQL注入攻击的形式上,并没有太多的花样,整体来说,就只有一点,通过网页对网站数据库进行修改。
     
    SQL注入攻击能够直接在数据库中添加具有管理员权限的用户,从而最终获得系统管理员权限。
    至于一些高级的黑客,更是可以直接利用获得的管理员权限,获得网站上的文件或者在网页上加挂木马和各种恶意程序,对网站和访问该网站的网友都带来巨大危害。
     
    而造成这种攻击的原因,主要是许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。
     
    因为没有进行有效的判定,用户可以直接提交一段数据库查询代码,根据程序返回的结果,获得某些想得知的数据,这就是所谓的SQL注入性攻击的核心含义,知道了这些之后,我们就可以针对性进行防御。
     
    而具体的防御手法,我们可以整理为几个方面。
     
    首先,对于新手来说,可以直接从网上下载SQL通用防注入系统的程序,在需要防范注入的页面头部用来防止别人进行手动注入测试。
     
    当然了,如果通过SQL注入分析器就可轻松跳过防注入系统并自动分析其注入点。
     
    然后……只需要几分钟,你的管理员账号及密码就会被分析出来。
    所以,对于注入分析器的防范我们同样不能放松警惕,通过实验,发现了一种简单有效的防范方法,我们可以直接做两个账号,一个是普通的管理员账号,一个是防止注入的账号,如果找一个权限最大的账号制造假象,吸引软件的检测,而这个账号里的内容是大于千字以上的中文字符,就会迫使软件对这个账号进行分析的时候进入全负荷状态甚至资源耗尽而死机。
     
    OK,知道了这些东西之后,我们就可以针对性的修改数据库了。
     
    首先,我们可以对表结构进行修改。
     
    将管理员的账号字段的数据类型进行修改,文本型改成最大字段255(其实也够了,密码的字段也进行相同设置。
     
    做好了之后,在对表进行修改,设置管理员权限的账号放在ID1,并输入大量中文字符,把真正的管理员密码放在ID2后的任何一个位置,通过上面的三步完成了对数据库的修改,另外要明白您做的ID1账号其实也是真正有权限的账号,现在计算机处理速度那么快,要是遇上个一定要将它算出来的软件,这也是不安全的。
     
    只要在管理员登录的页面文件中写入字符限制就行了。
     
    这样的话,就算对方使用这个有上千字符的账号密码也会被挡住的,这样的话,就不怕在遇到SQL注入攻击了,当然了,网站最大的攻击还是程序漏洞,SQL注入攻击只是其中一种,对于网站的安全维护人员来说,一定要时时刻刻的对网站进行观察,定期检测,一旦发现问题,要立刻弥补,这样才能把问题降到最低。
     
    当然了,硬件防御也要重视起来,黑客攻击千千万万种,然后时候都不能大意。

    网编名人堂 RRS订阅

    网编专栏:苏拉

    苏拉

    WEB资讯报道,实时聚焦专业的WEB技术业界资讯和热点关注!

    • 2797

      文章数

    • 人气指数

    • 评论数

    • 智客
    • 资讯
    • 电商
    • 科技