详解网站SQL注入攻击解决全过程

ZDNet软件频道 时间:2009-11-04 作者: | eNet 我要评论()
本文关键词:SQL注入 入侵 Web安全 Windows
2009年3月17日上午,冠群金辰公司的工程师小李刚到公司,就接到了用户的电话:“怎么回事?我们的网站从今天早上开始就不能正常访问,是不是被黑了?”网站出了问题的用户显得格外着急。

  2009年3月17日上午,冠群金辰公司的工程师小李刚到公司,就接到了用户的电话:“怎么回事?我们的网站从今天早上开始就不能正常访问,是不是被黑了?”网站出了问题的用户显得格外着急。

  小李打开用户的网站主页,发现果然无法访问,页面一片空白,只是显示出如图1的一行英文,果然是受到了黑客攻击:

  找到问题

  小李当即决定赶到用户现场解决问题,确定网站受到了何种攻击。赶到现场之后,经过简单的测试,他判断用户主页是被进行了SQL注入攻击,因此不能正常访问。

  什么叫做SQL注入?其实就是一种利用一些网站程序员在编写代码的时候,没有对用户输入数据的合法性进行判断从而使应用程序存在的安全隐患,提交一段数据库查询代码,从而获得某些非公开数据的黑客攻击行为。也就是所谓的SQL Injection。

  于是小李利用专业的工具,对用户的网站进行了风险评估。结果不出所料,用户的网站存在着不少可以被黑客们利用的漏洞。

  首先小李使用专业的测试工具,对网站进行了测试评估,评估结果如图:

  从工具测试来看,此网站共有6个SQL注入点,48个 跨点攻击点!因此这个网站存在着很大的安全风险,需要立即对代码的安全加固进行防御,以保证网站的安全。

  解决问题

  随后,冠群金辰工程师对用户网站代码进行了人工分析,针对SQL的注入点进行查找,通过对数据库进行分析,发现早在2月份,用户的数据库已经被进行了SQL注入,以下是通过分析找到的多个表的注入点,如图:

  小李很快就将通过SQL注入而被破坏的数据进行了恢复,并且针对检测出来的漏洞,对用户网站进行了全面的安全加固,使网站得以正常访问。而整个过程,从小李来到客户现场之后到最终解决问题,只不过用了区区1小时!

  小李告诉用户,SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。直到一段时间之后发现网页不能访问,才会发现网站早已经被侵入。而在发现网站被进行了SQL注入之后,一定要对网站应用程序进行多方面的测试查找,这样才能找到注入点,并对网站进行全面加固。

  想要避免网站受到SQL注入,冠群金辰工程师有以下安全建议:

  1. 建议关闭或删除不必要的交互式提交表单页面,因为他们是黑客进行SQL注入的途径,关闭这些交互式页面可有效的阻止某些XSS跨站脚本的攻击与注入。而最有效的防治注入及跨站脚本攻击的方法,是在代码层就屏蔽掉不安全的script等危险字符。

  2. 对漏洞注入点相关代码进行代码及SQL注入关键字的过滤,以规范代码安全性。

  3. 不要在服务器端放置备份的文件以免受到感染,或备份的文件含有漏洞,造成切入点,比如index1.asp index2.asp products1.asp等。

SQL注入

入侵

Web安全

Windows

用户评论
用户名
评论内容
发表时间
ZDNet网友
2011-03-18 14:57:01
ZDNet网友
2010-05-21 00:49:14
ZDNet网友
2010-05-21 00:48:00
ZDNet网友
微软应该对自己的用户负责,如果用户完全使用xp升级微软win7,为什么要付出这样麻烦的代价?都是微软出品软件,且都是利用该软件获取信息以及处理文字、多媒体功能,微软应该尽可能方便用户!虽然有时候这样的请求也许跟不上时代技术发展的脚步,但是微软不要以此为借口,认为一切都理所应当,就不可以方便用户。还是要尽力,所谓拿人手短吃人嘴软,商业不正是讲求有商道吗!至少做人需诚实守信,尽可能帮助用户顺利、安全转换操作系统、各种必须软件功能尽可能兼容以及信息尽可能的少丢失!虽然这很大程度仅仅取决于微软等计算机专家、工程师的自我自律约束,我们普通用户恐怕很难知道微软究竟仅了多大力量为用户考虑,但是我相信真相会有被发现的一天,无论多久远。 微软从某种意义上来说,就是一个类似“掌握魔方”操作特别出神入化的公司。几乎奠定了电脑主要的“规则”,但是,我却相信不久将来我们会发现,电脑依然是非常有限的一个小系统而已!随着我们新的关键材料认知突破,电脑系统会真正被另一个革命性新电脑系统所取代,不要以为我这样的说法是无稽之谈不可实现,我却认为很有可能,只看这样的情况发生究竟是快还是慢,是早还是迟!变成历史的小玩具之后的电脑系统,微软会留下良好的历史声名吗?我们拭目以待! 网友::我爱佛祖
2010-02-03 13:52:55
- 发表评论 -
匿名
注册用户

百度大联盟认证黄金会员Copyright© 1997- CNET Networks 版权所有。 ZDNet 是CNET Networks公司注册服务商标。
中华人民共和国电信与信息服务业务经营许可证编号:京ICP证010391号 京ICP备09041801号-159
京公网安备:1101082134