從IIS漏洞到服務(wù)器的知識(shí)講解
我們知道從codered到nimda等,一大堆蠕蟲把原來需要人工利用的漏洞都變成了程序自動(dòng)利用了,大家還想去手工操作這些IIS漏洞么?讓我們調(diào)整重心,去看看服務(wù)器常用的數(shù)據(jù)庫吧。
一般網(wǎng)站都是基于數(shù)據(jù)庫的,特別是ASP、PHP、JSP這樣的用數(shù)據(jù)庫來動(dòng)態(tài)顯示的網(wǎng)站。很多網(wǎng)站可能多注意的是操作系統(tǒng)的漏洞,但是對數(shù)據(jù)庫和IIS漏洞還有這些腳本的安全總是忽略,也沒有太多注意。
IIS漏洞我們先放下,從最比較普遍的腳本問題開始,這些都是老話題了,大家可以參考Hectic寫的《關(guān)于數(shù)據(jù)庫的簡單入侵和無賴破壞,以天融信做例子》,該文章對從SQL腳本問題說得非常詳細(xì)。
對于腳本安全的解決,也可以通過過濾來實(shí)現(xiàn),可以參考我以前寫的。對于ASP來說,可以使用下面這個(gè)過濾函數(shù):
- Function Filter_SQL(strData)
- Dim strFilter
- Dim blnFlag
- Dim i
- strFilter="',;,//,--,@,_,exec,declare" '需要過濾的字符,可以自己添加,","是分隔符
- blnFlag=Flase '過濾標(biāo)志,如果產(chǎn)生過濾,那么就是真
- Dim arrayFilter
- arrayFilter=Split(strFilter,",")
- For i=0 To UBound(arrayFilter)
- If Instr(strData,arrayFilter(i))>0 Then
- blnFlag=True
- Exit For
- End If
- Next
- If blnFlag Then
- Response.Redirect "wrong.asp"
檢查IIS漏洞時(shí),當(dāng)發(fā)現(xiàn)有過濾操作時(shí),導(dǎo)向一個(gè)預(yù)定頁面。反正正常訪問用不到的連接請求,總不是好事情。
- Else
- Filter_SQL=strData
- End If
- End Function
對于MS SQL Server數(shù)據(jù)庫來說,安全問題不僅僅局限在腳本上了。“天殺的微軟”的系統(tǒng)性很強(qiáng),整個(gè)基于WINDOWS系統(tǒng)的應(yīng)用都有很強(qiáng)的關(guān)聯(lián)性,對SQL Server來說,基本可以把數(shù)據(jù)庫管理和系統(tǒng)管理等同起來了。IIS漏洞的知識(shí),我們就講解到這里了。
【編輯推薦】
