- 1、本文档共53页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
版权所有,盗版必纠 15.2.4 SQL注入攻击 (2) 字符串型参数的判断 当输入的参数XX为字符串时,通常show.asp中SQL语句原貌大致如下: select * from 表名 where 字段=XX,所以可以用以下步骤测试SQL注入是否存在。 ① http://localhost/show.asp?id=XX(附加一个单引号),此时show.asp中的SQL语句变成了select * from 表名 where 字段=XX, show.asp运行异常; ② http://localhost/show.asp?id=XX or 1=1, show.asp运行正常,而且与http://localhost/show.asp?id=XX运行结果相同; ③ http://localhost/show.asp?id=XX and 1=2, show.asp运行异常; 如果以上三步全面满足,show.asp中一定存在SQL注入漏洞 版权所有,盗版必纠 15.2.4 SQL注入攻击 (3) 特殊情况的处理 有时程序员会在程序过滤掉单引号等字符,以防止SQL注入。此时可以用以下几种方法尝试注入: ① 大小定混合法:由于ASP并不区分大小写,而程序员在过滤时通常要么全部过滤大写字符串,要么全部过滤小写字符串,而大小写混合往往会被忽视。如用SelecT代替select,SELECT等。 ② UNICODE法:在IIS中,以UNICODE字符集实现国际化,我们完全可以IE中输入的字符串化成UNICODE字符串进行输入。如+ =%2B,空格=%20 等。 ③ ASCII码法:可以把输入的部分或全部字符全部用ASCII码代替,如U=chr(85),a=chr(97)等。 图15.3描述了正常情况下访问一个网页的界面,图15.4是在URL后追加and 1=1时访问这个网页的界面、图15.5是1=2时访问这个网页的界面。由此可以确定该页面存在SQL注入漏洞。 版权所有,盗版必纠 15.2.4 SQL注入攻击 版权所有,盗版必纠 15.2.4 SQL注入攻击 版权所有,盗版必纠 15.2.4 SQL注入攻击 版权所有,盗版必纠 15.3 数据库攻击的防范措施 从上一节可以看出针对数据库攻击有各种各样的攻击,本章来讲述针对于上述攻击的防范措施。由于目前互联网上SQL攻击比较多,并且危害比较大,所以本节重点讲述如何防范SQL攻击。 版权所有,盗版必纠 15.3.1 数据库攻击防范概述 数据库系统的安全除依赖自身内部的安全机制外,还与外部网络环境、应用环境、从业人员素质等因素息息相关,因此,从广义上讲,数据库系统的安全框架如前所述可以划分为5个层次,这里主要讲其中的三个层次: (1)网络层安全 从广义上讲,数据库的安全首先依赖于网络系统。随着Internet的发展和普及,越来越多的公司将其核心业务向互联网转移,各种基于网络的数据库应用系统如雨后春笋般涌现出来,面向网络用户提供各种信息服务。可以说网络系统是数据库应用的外部环境和基础,数据库系统要发挥其强大作用离不开网络系统的支持,数据库系统的用户(如异地用户、分布式用户)也要通过网络才能访问数据库的数据。网络系统的安全是数据库安全的第一道屏障,外部入侵首先就是从入侵网络系统开始的。 从技术角度讲,网络系统层次的安全防范技术有很多种,大致可以分为防火墙、入侵检测、VPN技术等。 版权所有,盗版必纠 15.3.1 数据库攻击防范概述 (2)操作系统层安全 操作系统是大型数据库系统的运行平台,为数据库系统提供一定程度的安全保护。目前操作系统平台大多数集中在Windows NT和Unix,安全级别通常为C1、C2级。主要安全技术有操作系统安全策略、安全管理策略、数据安全等方面。 操作系统安全策略用于配置本地计算机的安全设置,包括密码策略、账户锁定策略、审核策略、IP安全策略、用户权利指派、加密数据的恢复代理以及其它安全选项。具体可以体现在用户账户、口令、访问权限、审计等方面。 版权所有,盗版必纠 15.3.1 数据库攻击防范概述 (3)数据库管理系统层安全 数据库系统的安全性很大程度上依赖于数据库管理系统。如果数据库管理系统安全机制非常强大,则数据库系统的安全性能就较好。目前市场上流行的是关系式数据库管理系统,其安全性功能很弱,这就导致数据库系统的安全性存在一定的威胁。 由于数据库系统在操作系统下都是以文件形式进行管理的,因此入侵者可以直接利用操作系统的漏洞窃取数据库文件,或者直接利用OS工具来非法伪造、篡改数据库文件内容。这种隐患一般数据库用户难以察觉,分析和堵塞这种漏洞被认为是B2级的安全技术措施。 版权所有,盗版必纠 15.3.1 数据库攻击防范概述 数据库管理系统层次安全技术主要是用来解决
您可能关注的文档
- 第十一章cron与日志辩析.ppt
- 第13课穆罕默德阿里改革岳麓版选修2辩析.ppt
- 混凝土第1章辩析.ppt
- 第13章,电子商务解决方案辩析.ppt
- 浙江省杭州市第十五中学2013年中考三模科学辩析.doc
- 第十一章财务会计辩析.ppt
- 第13章_轴对称单元复习(人教版)辩析.ppt
- 第十一章差错控制编码辩析.ppt
- 浙江省杭州市七校联考2016届高三上学期期中考试地理辩析.doc
- 第13章Linux网络服务器配置、管理与实践(第2版)辩析.ppt
- 量化点评报告:ERP失效后,如何锚定A股价值?-20240123-国盛证券-10页.pdf
- 金融工程资产配置系列专题:基于“宏观预期”的权益择时系统与2024年股债组合构建展望-20240123-中银证券-15页.pdf
- 金融工程深度报告:如何从ETF的提纯Alpha中学习信息-20240122-东证期货-20页.pdf
- 家用电器行业跟踪报告:重仓持股比例续升,美的获增持-20240125-万联证券-10页.pdf
- 估值与基金重仓股配置监控:哪些行业进入高估区域?-20240120-天风证券-15页.pdf
- 中班教案《打针我不怕》3篇.pdf
- 中国考古发现黄金.pdf
- 第十七单元活血化瘀药.pdf
- 大学校区宿舍粉刷工程施工组织设计方案.pdf
- 医学护理三基试题14.8皮肤病性病护理学试题(护理).pdf
文档评论(0)