防御SQL注入攻擊時(shí)需要注意的一個(gè)問(wèn)題
目前很多IIS防火墻其實(shí)質(zhì)就是一個(gè)ISAPI Filter,針對(duì)SQL注入攻擊的防御實(shí)質(zhì)就是關(guān)鍵字過(guò)濾,這一點(diǎn)在我以前的隨筆中提到的在開(kāi)發(fā)的Web Server Guard中也是這樣操作的。但目前大部分的IIS防火墻都存在一個(gè)漏洞:如果關(guān)鍵字包含未轉(zhuǎn)義百分比符號(hào) (%) ,那么將會(huì)繞過(guò)這些IIS防火墻的請(qǐng)求過(guò)濾和攔截,包含IIS 7.0的Request Filter。
因?yàn)檫@類(lèi)防火墻都是查找位于URL/Form/Cookie中的關(guān)鍵字,比如Exec。但是如果你傳入E%xec,那么將不會(huì)被過(guò)濾,這個(gè)問(wèn)題在目前已知的大部分IIS防火墻(具體的就不介紹了,以免存在廣告之嫌,Google搜索即可知道)中都存在,很容易被輕易穿透。包含微軟為ASP提供的一組安全過(guò)濾函數(shù)里面同樣存在這個(gè)問(wèn)題。
URLScan同樣存在這個(gè)問(wèn)題,但是URLScan 3.0beta我還沒(méi)有測(cè)試過(guò)。所以大家在開(kāi)發(fā)ISAPI Request Filter中要注意這一點(diǎn)。
http://www.ietf.org/rfc/rfc2396.txt
IIS 7.0修補(bǔ)程序:
相關(guān)文章
Html標(biāo)簽帶來(lái)的安全隱患測(cè)試
這篇文章主要介紹了Html標(biāo)簽帶來(lái)的安全隱患測(cè)試2007-01-01無(wú)線網(wǎng)攻擊工具進(jìn)攻方法及防范技巧小結(jié)
對(duì)無(wú)線網(wǎng)安全攻防有興趣的人應(yīng)該都需要一套工具,英特網(wǎng)上有很多免費(fèi)的工具。本文不求全面,但求能提供一些指導(dǎo)和建議。2008-02-02系統(tǒng)安全之加密與解密的應(yīng)用技巧與使用方法
系統(tǒng)安全之加密與解密的應(yīng)用技巧與使用方法...2007-08-08Web網(wǎng)絡(luò)安全分析SQL注入繞過(guò)技術(shù)原理
這篇文章主要為大家介紹了Web網(wǎng)絡(luò)安全分析SQL注入繞過(guò)技術(shù)原理的詳細(xì)講解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步早日升職加薪2021-11-11