避免SQL注进攻击的方法

核心提示：攻击者如此青睐Web攻击的1个重要缘由是它可以侵害1些无辜的站点，并用于感染大量的受害者。事实证实，Web服务器已被证实是互联网络中的“软柿子”，攻击者们可以充分利用之。这类攻击的唯1受害者就是用户，由于正是用户在浏览遭到危害的网站时会将自己暴露给恶意代

攻击者如此青睐Web攻击的1个重要缘由是它可以侵害1些无辜的站点，并用于感染大量的受害者。事实证实，Web服务器已被证实是互联网络中的“软柿子”，攻击者们可以充分利用之。这类攻击的唯1受害者就是用户，由于正是用户在浏览遭到危害的网站时会将自己暴露给恶意代码。但是，除用户之外，还有两个受害人，即网站的所有者和治理员。

在近半年来的SQL注进攻击中，这1点特别明显，在其中，后端数据库可能被恶意代码感染。清算这类攻击的后遗症是很痛苦的，有很多案例证实，清算数据库以后，几小时后会再次遭受攻击。最好的方法是预防，从1开始就想方想法避免遭受攻击。

在此，笔者只是总结几条技能，站点所有者和治理员可以遵守之，即可以将遭受攻击的机会最小化。

制定最好方法

SQL注进攻击其实不是新东西，攻击者们掌控这项技能已有很多年了。近些日子，很多网站发表了1些文章提供了1些资源，帮助开发职员编写安全代码。安全治理职员应当制定1些通用的安全方法，下面给出3点建议。1、建立参数化的存储进程，2、最少特权连接，3、仅对所有的存储进程授权“运行”许可，4、仅对利用程序域组授与许可

除1开始就留意安全地开发利用程序，对现有的利用程序实行评估是很重要的，这包括对第3方的利用程序。可以利用惠普发布的Scrawlr来帮助开发职员查找包括漏洞的页面。另外，谷歌提供的ratproxy也是不错的选择。

尽可能少的特权

开发职员应当确保Web利用程序以最少的特权运行，千万不要使用治理员账户运行，如避免使用db_owner 或 sysadmin等账号运行。

服务器日志

跟踪日志对诊断攻击是很有用的。近半年以来的SQL注进攻击都是通过恶意的HTTP要求产生的。对服务器中的URI查询串进行检查可有助于确认攻击，并可成为往后调查的起始点。

第3方厂商

假设单位使用第3方开发的软件，要确保其遵守最好的方法。要特别关注其程序的测试，要关注其开发气力和软件升级能力。

保护Web利用程序

现在的市场上，有各种各样的产品可以强化Web利用程序的安全，防御1些攻击。但这些不能成为代替开发安全程序的最好方法和技能。例如，Web利用程序防火墙中，现在有大量的贸易产品可以选择。有的防火墙，如IPS方案可有助于保护Web服务器免受攻击，并可禁止恶意的要求，避免其访问服务器。

对付Web要挟和SQL注进攻击并没有甚么1招制敌的妙方。但是加强对用户的教育，并实行1些行业的最好方法，这确切可避免通过注进攻击实行的Web侵害。

评论加载中... 内容： 评论者： 验证码：