防御SQL注入攻擊時需要注意的一個問題
更新時間:2009年02月01日 22:01:47 作者:
SQL注入算是一個極為普通的問題了,解決方案也多如牛毛,但是新的注入方式仍然層出不窮。
目前很多IIS防火墻其實質就是一個ISAPI Filter,針對SQL注入攻擊的防御實質就是關鍵字過濾,這一點在我以前的隨筆中提到的在開發(fā)的Web Server Guard中也是這樣操作的。但目前大部分的IIS防火墻都存在一個漏洞:如果關鍵字包含未轉義百分比符號 (%) ,那么將會繞過這些IIS防火墻的請求過濾和攔截,包含IIS 7.0的Request Filter。
因為這類防火墻都是查找位于URL/Form/Cookie中的關鍵字,比如Exec。但是如果你傳入E%xec,那么將不會被過濾,這個問題在目前已知的大部分IIS防火墻(具體的就不介紹了,以免存在廣告之嫌,Google搜索即可知道)中都存在,很容易被輕易穿透。包含微軟為ASP提供的一組安全過濾函數(shù)里面同樣存在這個問題。
URLScan同樣存在這個問題,但是URLScan 3.0beta我還沒有測試過。所以大家在開發(fā)ISAPI Request Filter中要注意這一點。
http://www.ietf.org/rfc/rfc2396.txt
IIS 7.0修補程序:
http://www.microsoft.com/downloads/details.aspx?FamilyID=9bf0adf3-20ce-4772-8304-83b68983c1fa&DisplayLang=zh-cn
http://support.microsoft.com/kb/957508/en-us
相關文章
Firewalld防火墻安全防護
這篇文章主要為大家介紹了Firewalld防火墻安全防護使用技巧,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進步,早日升職加薪
2022-07-07
Web網絡安全分析SQL注入繞過技術原理
這篇文章主要為大家介紹了Web網絡安全分析SQL注入繞過技術原理的詳細講解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進步早日升職加薪
2021-11-11
網管員需注意的十點安全技巧
結合工作經驗,在這里筆者給企業(yè)網管員提供一些保障企業(yè)網絡安全的建議,幫助他們用以抵御網絡入侵、惡意軟件和垃圾郵件。
2008-03-03
安裝防火墻的12個注意事項
防火墻是保護我們網絡的第一道屏障,如果這一道防線失守了,那么我們的網絡就危險了!所以我們有必要把注意一下安裝防火墻的注意事項!
2008-03-03