欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

防御SQL注入攻擊時(shí)需要注意的一個(gè)問題

 更新時(shí)間:2009年02月01日 22:01:47   作者:  
SQL注入算是一個(gè)極為普通的問題了,解決方案也多如牛毛,但是新的注入方式仍然層出不窮。

目前很多IIS防火墻其實(shí)質(zhì)就是一個(gè)ISAPI Filter,針對SQL注入攻擊的防御實(shí)質(zhì)就是關(guān)鍵字過濾,這一點(diǎn)在我以前的隨筆中提到的在開發(fā)的Web Server Guard中也是這樣操作的。但目前大部分的IIS防火墻都存在一個(gè)漏洞:如果關(guān)鍵字包含未轉(zhuǎn)義百分比符號 (%) ,那么將會繞過這些IIS防火墻的請求過濾和攔截,包含IIS 7.0的Request Filter。

因?yàn)檫@類防火墻都是查找位于URL/Form/Cookie中的關(guān)鍵字,比如Exec。但是如果你傳入E%xec,那么將不會被過濾,這個(gè)問題在目前已知的大部分IIS防火墻(具體的就不介紹了,以免存在廣告之嫌,Google搜索即可知道)中都存在,很容易被輕易穿透。包含微軟為ASP提供的一組安全過濾函數(shù)里面同樣存在這個(gè)問題。

URLScan同樣存在這個(gè)問題,但是URLScan 3.0beta我還沒有測試過。所以大家在開發(fā)ISAPI Request Filter中要注意這一點(diǎn)。

http://www.ietf.org/rfc/rfc2396.txt

IIS 7.0修補(bǔ)程序:

http://www.microsoft.com/downloads/details.aspx?FamilyID=9bf0adf3-20ce-4772-8304-83b68983c1fa&DisplayLang=zh-cn

http://support.microsoft.com/kb/957508/en-us

相關(guān)文章

最新評論