SQL隱碼攻擊原理是什麼?如何防範SQL隱碼攻擊?

老男孩IT教育機構 發表於 2022-11-24

  SQL隱碼攻擊是網路安全中非常常見的攻擊方式之一,該攻擊隱蔽性好、危害大、操作方便,也是各大企業及站長最容易遇到的攻擊方式。那麼SQL隱碼攻擊原理是什麼?如何防範?接下來跟著小編來看看吧。

  SQL隱碼攻擊原理是什麼?

  在SQL語法中直接將使用者資料以字串拼接的方式直接填入SQL中,那麼極有可能直接被攻擊者透過注入其他語句來執行攻擊操作,其中透過執行注入的SQL語句可以執行:獲取敏感資料、修改資料、刪除資料庫表等等風險操作。

  攻擊者可能採取的注入方式:數字型別和字串型別注入

  攻擊者可能提交的方式:GET注入、POST注入、COOKIE注入、HTTP注入

  攻擊者獲取資訊的可能採取的方式:基於布林的盲注、基於時間的盲注、基於報錯的盲注

  SQL隱碼攻擊防範方法

  1、定製黑白名單:將常用請求定製為白名單,一些攻擊頻繁的攻擊限制其為黑名單,這類操作可以透過安全軟體實現,可以針對攻擊型別把對方IP進行封禁處理,也可以對常用IP進行加白名單。

  2、限制查詢長度和型別:由於SQL隱碼攻擊過程中需要構造較長的SQL語句,同時有些不常用的查詢型別我們可以進行限制,凡是不符合該類請求的都歸結於非法請求予以限制。

  3、資料庫使用者的許可權配置:根據程式要求為特定的表設定特定的許可權,如:某段程式對某表只需具備select許可權即可,這樣即使程式存在問題,惡意使用者也無法對錶進行update或insert等寫入操作。

  4、限制目錄許可權:伺服器管理員還應在IIS中為每個網站設定好執行許可權,web目錄應至少遵循可寫目錄不可執行,可執行目錄不可寫的原則,在此基礎上,對各目錄進行必要的許可權細化。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69952527/viewspace-2924976/,如需轉載,請註明出處,否則將追究法律責任。