資源描述:
《asp.網(wǎng)站的sql注入攻擊與防范,asp論文》由會員上傳分享����,免費在線閱讀�����,更多相關(guān)內(nèi)容在學術(shù)論文-天天文庫����。
1、ASP.網(wǎng)站的SQL注入攻擊與防范,asp論文 互聯(lián)X技術(shù)的擴拓總是伴隨著X絡(luò)安全問題��,以ASP.語言為基點inistrator作為操作管理的名字��,pass-inistrators表就是正確的,意味著可以登錄�����。這種方式是登錄賬戶及密碼都是直接操作的一種手段����。另外,也有一些不同的操作方法��,但是其原理都相同�����,只需要令dr.read()返回真的結(jié)果就可以�����?����! ?.2數(shù)據(jù)更新時的SQL注入 首先���,假設(shè)與后臺數(shù)據(jù)庫內(nèi)部存在表users,其結(jié)構(gòu)如表1所示。表1中:用戶名用name表示;密碼用pass-e-ters集合中�。在使用Parameters集合的過程中,長度檢查特性和類型驗證特性會將可
2�、操作代碼視為文字,并對不屬于該范圍的數(shù)據(jù)進行報警處理���?����! ?)加強安全性��。安全種類的SQL參數(shù)在使用程序的拼接語句的過程中��,能夠有效提高其安全穩(wěn)定性��。因為一部分因素的影響����,導致在訪問數(shù)據(jù)庫時�,程序不可以按照設(shè)置的存儲路徑進行。所以��,通過安全種類的SQL參數(shù)����,才可以對具有拼接SQL語句的程序進行訪問��?��! ?)對敏感數(shù)據(jù)進行加密存儲。用戶對敏感數(shù)據(jù)進行保存時���,實施加密用戶輸入的數(shù)據(jù)并檢測輸入數(shù)據(jù)的內(nèi)容的安全性�����。以存儲在數(shù)據(jù)庫內(nèi)的數(shù)據(jù)為基礎(chǔ)對比加密后的敏感數(shù)據(jù)����,就會發(fā)現(xiàn)和之前已經(jīng)保存過的數(shù)據(jù)不同�����,經(jīng)過用戶加密后的敏感數(shù)據(jù)能夠更加有效地制止SQL的注入攻擊��。System.sAuthentic
3��、ation加密方式在ASP.集成環(huán)境中�,更易于加密數(shù)據(jù)���?�! ?)禁止將服務(wù)器端錯誤消息返回給頁面瀏覽者����。程序設(shè)計人員可以利用已經(jīng)在程序內(nèi)設(shè)置的數(shù)據(jù)為基礎(chǔ),在操作的自定義的用戶界面�,而不再顯示如源文件存儲位置、源錯誤位置等具體的原因�。 7)安全部署X站系統(tǒng)�。a)數(shù)據(jù)庫服務(wù)應(yīng)部署在專用的物理服務(wù)器上,而,union等�,也不能消除警惕,應(yīng)以用戶錄入?yún)?shù)的長短為依據(jù)�����,檢查是否為合法程序�����,如果不是合法代碼�,就對其進行錯誤警示��?��! ?)設(shè)置數(shù)據(jù)庫服務(wù)器的權(quán)限。在Web界面連接數(shù)據(jù)庫的時候�,盡可能不使用超級管理員身份。一般情況下�����,不允許Web頁面干涉系統(tǒng)的存儲方式和系統(tǒng)表的讀取方式����,即使是戶
4、表�,對權(quán)限設(shè)置也要慎重考慮,對只需要讀操作權(quán)限的用戶�,不給予插入、更新等權(quán)限����。 3)將不重要的交互式提交表格頁面進行關(guān)閉或刪除��。在編寫代碼的過程中�,程序員屏蔽掉代碼層內(nèi)常見的危險字符�,這樣就可以阻止或者屏蔽一些簡單的X站注入攻擊��?����! ?)作為X站管理員���,要及時打補丁并強化數(shù)據(jù)。應(yīng)定期����、及時地通過相關(guān)設(shè)施和器具檢查Web頁面收到的攻擊,實施監(jiān)測數(shù)據(jù)庫運行情況��,禁止一切無用的功能和服務(wù)����。 4結(jié)論 對于SQL注入漏洞的檢測條件是有限制的����,檢測效果重點在于代碼覆蓋率。通常情況下�,會采用黑盒測試技術(shù)進行客戶端SQL注入漏洞檢測技術(shù)��,當然檢測效果也是取決于所建立檢測漏洞模型是否準確
5�����、�,同時��,也需要原代碼給予一定的支持����,如服務(wù)器端源代碼的靜態(tài)檢測技術(shù)和動態(tài)檢測技術(shù),及兩種檢測技術(shù)相結(jié)合共同檢測����。但是污點跟蹤技術(shù)是在發(fā)現(xiàn)SQL注入漏洞之后,而且也只是會終止進程或是發(fā)出報警���,無法對抗利用漏洞發(fā)起的拒絕服務(wù)攻擊��,而綜合檢測技術(shù)無法追蹤漏洞的位置和起因等�,它只是提供安全部署的框架��?���! SP.X站開發(fā)的信息系統(tǒng)被入侵��,是因為代碼存在的問題被入侵者發(fā)現(xiàn)��。因此��,當程序員在編寫程序時��,首先�����,檢測對客戶端提交的變量參數(shù)和字符變量參數(shù);然后�,根據(jù)以下6點防御SQL注入的攻擊。1)通過類安全的參數(shù)代碼機制打造動態(tài)SQL語句�����。2)簡短單表輸入和查閱字符會降低有害代碼強行SQL命令的頻率��。3
6���、)檢測填寫的權(quán)限問題��,保證填寫的數(shù)據(jù)是可用的���,同時��,通過客戶端和服務(wù)器端的雙向驗證實現(xiàn)更嚴格的訪問控制���。4)代碼設(shè)置前先做評定,脆弱敏感的信息加上密碼后再放置到數(shù)據(jù)庫中����,對比填寫的密碼是否和數(shù)據(jù)庫一致,沒有針對性意義的數(shù)據(jù)沒事�����,有針對性的則要進行防范�。5)對返回數(shù)據(jù)進行檢測,超過的記錄都按照出錯來進行處理�。6)操的權(quán)限放置到最基本要求?! ⒖嘉墨I: [1]馬凱,蔡皖東�,姚燁。Web2.0環(huán)境下SQL注入漏洞注入點提取方法[J].計算機技術(shù)與發(fā)展,2013,23(3):121-124,128. [2]丁允超�,范小花。SQL注入攻擊原理及其防范措施[J].重慶科技學院學報(自然科學
7��、版)��,2012,14(5):136-139. [3]石聰聰��,張濤����,余勇,等�����。一種新的SQL注入防護方法的研究與實現(xiàn)[J].計算機科學���,2012(增刊1):60-64. [4]王偉平,李昌�,段桂華?;谡齽t表示的SQL注入過濾模塊設(shè)計[J].計算機工程,2011,37(5):158-160. [5]周益宏���,陳建勛��。淺析基于ASP.的X站SQL注入攻擊及防范措施[J].計算機安全����,2010(6):93-95
