ASP注入應用漏洞解決方法大全

分享到： QQ空間新浪微博騰訊微博人人網(wǎng)

關(guān)鍵詞：重慶IT外包發(fā)布時間：11-07-26 12:24:47 瀏覽量：【字體：大中小】

1、ASP程序連接 SQL Server 的賬號不要使用sa，或任何屬于Sysadmin組的賬號，盡量避免應用服務有過高的權(quán)限，應使用一個db_owner權(quán)限的一般用戶來連接數(shù)據(jù)庫。

2、WEB應用服務器與DB服務器分別使用不同的機器來存放，并且之間最好通過防火墻來進行邏輯隔離，因為除了有程序在探測 sa 沒密碼的SQL Server，SQL Server 本身及大量的擴展存儲過程也有被溢出攻擊的危險。

3、數(shù)據(jù)庫服務器盡量不要與公網(wǎng)進行連接，如果一定要直接提供公網(wǎng)的連接存儲，應考慮使用一個非標準端口并限制IP地址來進行連接。

4、SA一定要設(shè)成強悍的密碼，尤其是SQL Server 2000以前的版本，在默認安裝Sql時sa賬號沒有密碼，而一般管理員裝完后也忘了或怕麻煩而不更改密碼。

5、改掉缺省的Web虛擬路徑，不要使用IIS裝好后預設(shè)的<系統(tǒng)盤>\Inetpub\WWWRoot路徑，否則利用前面敘述的另存為方式，很容易在該目錄下動手腳。

6、將平時不使用的但功能強大的擴展存儲過程刪除。

7、使用網(wǎng)絡和主機IDS來監(jiān)控重要系統(tǒng)的運行狀況。

8、隨時注意是否有新的補丁需要補上，目前SQL2000最新的補本包為SP4。

9、盡量的利用ASP 或者 ASP.NET 在服務器端檢查與限制輸入變量的類型與長度，過濾掉不需要的內(nèi)容。要注意的是這些檢查不只是要放在前端，后端也要檢測。在前端利用Html Input 標簽的MaxLength屬性來限制輸入長度，或是以JScript編寫程序來限定文本域的長度，但是只要將該網(wǎng)頁另存為，修改內(nèi)容后(一般只要改寫Form的Action屬性以及Input的MaxLength屬性)，重新用瀏覽器打開更改過后的頁面就可以躲過這些瀏覽器前端的檢查。

10、使用容錯語句，不要顯示錯誤信息到前端，利用VBScript語法的On Error Resume Next來屏蔽SQL的出錯提示，并搭配If Err.Number<>0 Then的錯誤處理方式，自行將錯誤重定向到適當?shù)腻e誤處理網(wǎng)頁，如此系統(tǒng)將更穩(wěn)固，且黑客也不容易透過錯誤信息來探知系統(tǒng)的內(nèi)部運作方式�；蛘撸部梢孕薷�<系統(tǒng)盤>\Winnt\Help\iisHelp\common\500-100.asp預設(shè)網(wǎng)頁，最簡單的方式就是將它改名。例：

on error resume nextsql2="select * from dv_admin where username='"&ReqStr("username")&"'"

11、使用過濾和防注入函數(shù)來過濾掉一些特殊的字符，防注入函數(shù)示例：

'----------------------------------- ---------------------------- Function ReqNum ( StrName ) /* 數(shù)值型變量過濾 */ ReqNum = Request ( StrName ) if Not isNumeric ( ReqNum ) then Response.Write "參數(shù)必須為數(shù)字型!" Response.End End if End Function Function ReqStr ( StrName ) /*字符型和搜索型過濾 */ ReqStr = Replace ( Request(StrName), "'", "''" ) /* 用replace函數(shù)屏蔽單引號 */End Function以下三句SQL語句，說明一下調(diào)用方法： 1.SQL="select * from dv_admin where username=" & ReqNum("username")2.SQL="select * from dv_admin where username ='" & ReqStr(" username ") & "'" 3.SQL="select * from username where UserName like '%" & ReqStr(" username ") & "%'" 12、若想更換SQL Server 的執(zhí)行服務賬號,則該帳號需要以下的權(quán)限：Log On LocallyLog On as a BatchAccess this computer from the NetworkLog on as serviceReplace a process level tokenAct as part of the operating systemIncrease quotas

13、使用Microsoft基線安全性分析器（MBSA）來評估服務器的安全性，并按照它的建議來更改系統(tǒng)的設(shè)定。

MBSA 是一個掃描多種Microsoft產(chǎn)品的不安全配置的工具，包括SQL Server和Microsoft SQL Server 2000 Desktop Engine(MSDE 2000)。它可以在本地運行，也可以通過網(wǎng)絡運行。

該工具針對下面問題對SQL Server安裝進行檢測：

本新聞共2頁,當前在第1頁 1 2