2
2
矛头指向WEB服务攻击了。SQL注入攻击是WEB攻击类型中的一种,这种攻击没有什么特殊的要求,只需要对方提供正常的HTTP服务,且不需要理会管理员是否是个“PATCH狂”。这类攻击主要是针对某种WEB处理程序(如ASP,JSP,PHP,CGI等等)的而进行。
当一台机器只开放了80端口(这里指的是提供HTTP服务)时,可能你的大多数漏洞扫描器都不能给到你很多 有价值的信息(漏洞信息),倘若这台机器的管理员是经常为他的服务器打PATCH的话,我们只好把攻击的
如何利用Sql 注入遍历目录 关于如何取得注入入口不再说了,前面的帖子都说得很详细了,我们就如何浏览全部目录和文件进行研究当System_user为'sa'时,具有全部权限,包括执行
a.应用程序进入数据库所使用的帐户应该有保证能够使用它需要的对象的最小权限 5.确定服务器的补丁 a.针对SQL SERVER有一些缓冲区溢出和格式化字符串攻击,也有一些其他的安全补丁发布。应该存在很多。 6.确定什么应该被日志记录,什么应该在日志中结束。
a.为应用程序的使用创建一个低权限的帐户 b.删除不必要的帐户 c.确定所有帐户有强壮的密码;执行密码审计 3.确定哪些对象存在 a.许多扩展存储过程能被安全地移除。如果这样做了,应该移除包含在扩展存储过程代码中的'.dll'文件 b.移除所有示例数据库——例如'northwind'和'pubs'数据库 4.确定哪写帐户能过使用哪些对象
在这指出的重要一点是锁定SQL SERVER是必要的;外面的是不安全的。这是一个但创建SQL SERVER时需要做的事情的简短的列表: 1.确定连接服务器的方法 a.确定你所使用的网络库是可用的,那么使用'Network Utility' 2.确定哪些帐户是存在的
2
2