《SQLInjection(资料隐码)简介》由会员分享,可在线阅读,更多相关《SQLInjection(资料隐码)简介(28页珍藏版)》请在金锄头文库上搜索。
1、SQL Injection (資料隱碼) 簡介主講人: 陳培德 成大電機所博士候選人 密碼與網路安全研究室 URL: http:/crypto.ee.ncku.edu.tw Email: pedercrypto.ee.ncku.edu.twCryptology SHUTDOWN- 停止SQL伺服器n ;DROP Database - 刪除資料庫n ;DROP Table - 刪除資料表n ;DELETE FROM - 刪除資料表n ;Truncate Table - 清空資料表Cryptology & Network Security Lab.SQL帳號設定nsa 權限n sa 權限就是可以管
2、理所有資料庫權限,因此攻擊 者就有可能讀取,寫入,甚至可以刪除所有 SQL 資料庫伺服器裡的資料。n造成影響n攻擊者可以得到 SQL Server 以及作業系統完整的控 制。n攻擊者透過 xp_cmdshell 的延伸預存程序(extended stored procedure )能夠對 SQL Server 資料庫上的所 有資料進行任意的存取動作, 甚至可以在SQL Server尚值入後門。Cryptology & Network Security Lab.SQL帳號設定 (cont.)ndb_owner 權限n如果被攻擊的應用程式擁有 db_owner 權限 ,攻擊者有可能讀取或寫入在被攻
3、陷的資料 庫裡的所有資料,攻擊者也有可能移除表格 ,建立新物件,並掌控被攻陷的資料庫。n造成影響n攻擊者能夠對資料庫上的所有資料進行讀寫動作 。n能夠刪除Table、建立新 Table、進而取得被影 響資料庫的控制權。 Cryptology & Network Security Lab.SQL帳號設定 (cont.)nnormal user 一般使用者權限 (建議使用)n造成影響n攻擊者只能掌控被攻陷的那個使用者的資料庫n在比較好的情況下,攻擊者只能執行一些閱讀指 令n在最差狀況下, 攻擊者也只能夠閱讀或寫入被 攻陷的那個使用者的表格Cryptology & Network Security
4、Lab.如何防範SQL Injectionn網頁程式撰寫方面n過濾輸入條件中可能隱含的sql指令,如 INSERT、SELECT、UPDATE等n針對輸入條件進行規範,如無必要,應規範 為僅可接受大小寫英文字母與數字等n針對特殊的查詢參數進行過濾,如-、 等 可利用replace(xx, “ “, “ “)進行替換n進行程式寫作時,應時常檢查程式是否存在 有非預期輸入資料的漏洞。Cryptology & Network Security Lab.如何防範SQL Injection (cont.)n資料庫管制方面nSa管理帳號的密碼管控n刪除多餘的公開資料表(程式開發、範例等)n若無特殊必要,將
5、其他使用者設定為一般使 用者權限,以避免完整資料庫內容遭入侵n移除不必要但功能強大的延伸預存程序,如 xp_cmdshell 、xp_regaddmultistring 、 xp_unpackcab等Cryptology & Network Security Lab.如何防範SQL Injection (cont.)n網站伺服器方面n定期修補作業系統與網站伺服器的漏洞n避免ASP、PHP與JSP程式源碼洩漏,造成使用者 可以直接瀏覽n更改預設的網站虛擬路徑,如IIS系統不要使用預設 的C:InetpubWWWRoot的目錄n不提供錯誤訊息給使用者n攻擊者可藉由回報的錯誤訊息得知資料庫的結構n建
6、議將錯誤輸入重導到適當網頁n修改C:WINNTHelpiisHelpcommon500-100.asp的預設 錯誤網頁Cryptology & Network Security Lab.如何防範SQL Injection (cont.)n外部防護系統的控管n可藉由防火牆系統管制port 1433與1434的 連線n藉由防火牆限制網路登入者的身份n藉由Host-based IDS或Application-based IDS來監控系統運作的執行Cryptology & Network Security Lab.參考資料nThe Open Web Application Security Project http:/www.owasp.org/asac/input_validation/s ql.shtmln新波科技http:/.tw/n精誠公司安全通報 http:/.tw/news/press/0204 24.shtmlCryptology & Network Security Lab.參考資料 (cont.)n台灣微軟公司關於SQL Injection的相關 報導nhttp:/ njection.htmnhttp:/ njection_G1.htmnSQL Server電子雜誌 http:/.tw/
