抵禦入侵保護ASP系統的通用方法

來源:互聯網
上載者:User
    研究了漏洞,我就想解決的方法,我總結一下,裡面有我想的一個不成熟的想法。是給高手看的,看看是不是一種解決已知和未知SQL注入漏洞的好方法。

 這個是我想的不成熟的方法,我認為能解決大部分以知和未知的SQL注入漏洞,讓入侵者弄不到密碼!

 首先我先分析大多數的SQL注入,原理無非就是對管理員敏感的資訊進行猜測,因此都需要知道管理員表名,使用者變數和密碼變數才能進行猜測。http://ip/art/list.asp?id=253 and 1=(select id from admin where len(password)=10)而免費的ASP系統最大的缺點是什嗎?資料庫的儲存敏感的資訊的地方都是一樣的!!

 試想對於上面的注入,我不知道儲存管理員的表為admin,我怎麼可能進行攻擊呢?呵呵大家都想到了吧,我說的方法就是自己修改表名和ASP代碼,以達到保護的目的,讓入侵者猜到吐血,也找不出!

 此方法我認為適合大多數的文章管理和下載系統,等asp系統

 還是實戰一下,對於動網文章系統3。4的修改,

 第一步:修改資料庫

 用access開啟資料庫,然後在表名admin上點右鍵選擇重新命名,我命名為admin1234(呵呵,你可要命名個隨機難猜的啊)

 第二步:修改ASP代碼

 一般我門只要修改相關的SQL語句就可以了。

 先找出需要修改的檔案,恩,開啟WINDOWS的搜尋,選擇搜尋動網文章的檔案夾,然後在搜尋條件為包含文字"admin",一定要加引號,表示此字串單獨存在,不包含在其他字串中,這時就出來了13個檔案,然後開啟檔案,我發現只有一出幹擾就是

  if session("admin")="" then 他也包含admin,其餘的均為SQL語句查詢裡,所以我看了一下確定了該改的檔案有 chkadmin.asp saveuser.asp saveuer1.asp adminuser.asp

 修改為,用記事本開啟,並利用其搜尋替換的功能,將所有from admin 替換為from admin1234,其實就是遇到sql="select * from admin where flag 或類似的SQL語句,就將admin修改為admin1234,然後儲存, 好了,到此就修改完了,然後測試了一下,還行,沒有問題。這下即使有新漏洞我也不怕了,因為入侵者猜不到我的表名,呵呵。

 這就是一次簡單實戰,對於其他的ASP系統也是類似的。到這裡我不太滿意,因為我在用手工修改,誰能保證不出錯,而且對於論壇類的ASP是不可能的。

 所以我的想法是用軟體批量的修改檔案,這樣的功能的軟體應該有,可以自己找,或編,但是我還是認為不好,因為有好多幹擾的因素,如上面的的if session("admin")="" then 就不能改 的,軟體是不好判斷的。所以我認為對於這個方法應該在業界行成編程的新規範。還是拿動網來做例子

 對於動網的BBS,他可以在編寫的時候,對於儲存使用者和管理員的表名起一個與BBS代碼沒有重複的表名,然後隨論壇發布一個軟體,在使用者安裝後,批量修改資料庫和論壇檔案代碼中儲存管理員的表名為使用者自己定義的表名。這樣就解決了修改時檔案過多,和相同字元幹擾的問題,而你自己定義的管理員的表名被猜出的幾率極底,入侵者猜不出來就沒法進行SQL注入攻擊了,即使是他發現了新的注入漏洞,如此安全性大大提高了。

 我希望的是這個方法可以實現,這樣在使用者得到檔案後可以自己定義敏感性資料,以避免絕大多數已知和未知的SQL攻擊。

 這是我找的一個好工具,非常不錯的批量檔案字元替換程式。

 自我點評一下,我對前兩篇文章不是很滿意的,即動網漏洞和浪客密碼,我只是在原有的知識上重複工作,沒什麼用,而這篇文章我認為可以有效改變安全問題,我看了一下,如果對於一個如上方法處理的BBSXP論壇,即使是沒有補丁對於BBSXP漏洞倒著看一、二、四、五都是天生免疫的,對於動網,如果也用上面的方法處理過,那麼,對於”絕對背後的微笑-再談DVBBS漏洞“,“免費版dvBBS的另一類漏洞“,”Sql Injection with Access“等漏洞也是天生免疫的,所以我對這個方法還是抱著很大希望的,如果能成為一種規範,應該對安全的貢獻是大的,雖然目前還不行,但我想將來可以行,而且現在對於小規模的ASP系統可以手工修改。



相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。