本站原创
摘要:针对SQL的注入技术及Microsoft SQL Server的安全性配置进行研究与分析。首先,对SQL进行了介绍,然后,从用户、网络和怎么写作器3个角度对网络应用安全结构进行了分析,最后,重点阐述了SQL注入攻击技术以及相应的Microsoft SQL Server安全配置。
关键词:SQL注入;PHP;ASP;网络安全;防范模型
16727800(2013)004015502
1SQL概述
SQL全称Structured Query Language,是一种结构化的查询语言,但是功能却不仅仅限于查询,而是一种运用较为广泛且功能强大的关系型数据库语言,它能够对关系数据的模式进行有效的支持。具体情况见图1。
在有效使用SQL语句的基础之上,例如更新数据库中的数据、在数据库中提取有效数据等。目前,SQL语言标准已经有了较为广泛的使用,例如Oracle、Sybase、 Microsoft SQL Server、Access 等。这些关系型数据库管理系统在对SQL语言使用时,还在它原先的基础之上对其进行了一定程度的开发与扩展。
2网络应用安全结构分析
用户、网络以及怎么写作器有机结合,共同组成了系统的整体。用户、网络、怎么写作器这3个要素当中的任意要素出现漏洞,就有可能对网络应用安全造成一定程度的影响。
除此之外,无论是数据库怎么写作器还是系统中的敏感数据,都有成为安全隐患的可能性。因为,只要注入攻击者对整个内部网络应用结构的用户层有一定的了解,他们就可以操作互信关系,最终达成注入攻击的目的。从用户角度分析网络应用安全结构出现缺陷的原因,用户安全意识淡薄是最为关键的。
3SQL注入攻击技术分析
对于SQL注入来说,它其实是模拟系统的正常交互过程。一般情况下,是很难将其与正常数据库怎么写作器的访问操作进行区分的,因为两者从表面上看十分相似。正是因为这一原因,目前市场上很少见到会对SQL注入发出警报的防火墙,而如果系统管理员不经常查看怎么写作器日志,则可能被侵入很长一段时间也没有发觉。然而,SQL的注入手法多种多样,且具有较大的灵活性,因此在注入的时候可能会遇到诸多情况。
事实上,SQL注入就是用户向怎么写作器提交内容时,在其中多添加了一些符号或者语句,这样一来,当原本的SQL语句进行执行时,查询条件就会发生改变,然后将攻击者所需要的系统版本、怎么写作器以及相应的数据库类型进行返回,这正是攻击者达到不法目的的手段之一。从这点来看,攻击者的攻击手法就是篡改SQL语法,这样的攻击十分常见。理论上来说,对于所有基于SQL语言标准的数据库软件系统都是有效的,当然,各种软件有自身的特点,而最后的代码可能存在着较大程度上的差异。
SQL注入攻击具有诸多的特征,而在这些特征之中,阶段性无疑是最为典型的。其实SQL注入攻击具有较高的难度,攻击者不可能很轻易地对系统造成攻击,而是需要通过一系列的操作才能达成注入攻击的目的。首先,在正式攻击之前,攻击者需要对相关的信息进行一定程度上的探测与分析,而这一操作需要信息的支持。因此,攻击者还会对相关的信息进行收集,信息主要分为两个大类,分别是目标怎么写作器的操作系统类型和目标怎么写作运行的数据库类型,经过信息收集、信息分析之后,攻击者就可以开始对系统进行攻击。
4Microsoft SQL Server安全配置
目前,虽然存在着多种数据库类型,但多数的数据库类型都是基于SQL语句进行存储管理的,下面就针对Microsoft SQL Server对数据库的安全配置进行阐述与分析。
(1)用户设置。用户设置是安全配置的重要组成部分之一,因此,在对SQL Server用户进行设置时,应当十分谨慎,做好严格而又精确的管理工作,管理对象主要是数据库中的每一个表的各项操作权利,特别是对于普通用户的权限设置与系统管理员用户名的设置。通常,普通用户只需使用数据库角色组便可以了,不需使用怎么写作器角色组,而系统管理员用户名则需进行有效管理,禁止任意改动与设置,因为在任意改动的情况下,就很有可能被权限攻击者使用,然后由此一步一步获取最高权限,最终对系统造成严重的伤害。
(2)文件设置。通过对文件进行有效的加密也可以对安全性进行一定程度的保证,它是一种被动式的保护方式,通过这种保护方式,可以防止攻击者对连接的文件进行修改从而达到绕过相关认证的目的。所以,为了防止该种情况的发生,应该对数据库中的文件进行加密处理,这样一来,攻击者就算通过不法手段获取了相关的数据库文件,也不能对它做任何操作。
(3)系统设置。一般情况下,SQL Server会经常更新与升级,因此,为了提高系统的安全性,需要及时进行最新补丁的安装。同时,网络辅助设备在其中能够发挥一定程度上的作用,因此,需要将其有效利用起来,并通过这些网络辅助设备对某些特定端口的对外连接进行关闭,防止其它非开放式的数据库注入攻击。
5结语
随着信息技术的发展,计算机网络技术取得了较大程度的进步和广泛的应用,由此带来的安全问题也日益突出,这就需要我们不断提升自身信息安全防护知识和技能,做好预先的防范措施,这样才能减少被攻击后的损失。
本文所研究的SQL注入技术及Microsoft SQL Server安全性配置对于Web程序开发者、系统管理人员、网络管理人员具有安全参考价值;对于减少SQL注入攻击的危害,降低Web系统的安全威胁,提高Web程序质量具有重要意义。
参考文献:
\[1\]杨义先,钮心忻.网络安全理论与技术[M].北京:人民邮电出版社,2003.
闪四清.MicrosoftSQLServer2000实用教程[M].北京:人民邮电出版社,2000.
[3]李晓黎,张巍.ASP+SQLServer网络应用系统开发与实例[M].北京:人民邮电出版社,2004.
[4]张兴虎.网络怎么写作器
[5]舍玛,谢文亮,马睿倩.Web安全手册[M].北京:清华大学出版社,2005.
(责任编辑:余晓)
关键词:SQL注入;PHP;ASP;网络安全;防范模型
16727800(2013)004015502
1SQL概述
SQL全称Structured Query Language,是一种结构化的查询语言,但是功能却不仅仅限于查询,而是一种运用较为广泛且功能强大的关系型数据库语言,它能够对关系数据的模式进行有效的支持。具体情况见图1。
在有效使用SQL语句的基础之上,例如更新数据库中的数据、在数据库中提取有效数据等。目前,SQL语言标准已经有了较为广泛的使用,例如Oracle、Sybase、 Microsoft SQL Server、Access 等。这些关系型数据库管理系统在对SQL语言使用时,还在它原先的基础之上对其进行了一定程度的开发与扩展。
2网络应用安全结构分析
用户、网络以及怎么写作器有机结合,共同组成了系统的整体。用户、网络、怎么写作器这3个要素当中的任意要素出现漏洞,就有可能对网络应用安全造成一定程度的影响。
2.1用户角度
目前,计算机网络技术发展迅速,用户数量急剧增加,网络应用结构的层次与类别呈现出多样化。因此,上至整个大领域,下至一些相对较小的团体,只要他们与应用结构存在着关联,那么他们就有可能成为不法分子入侵数据库的切入点。为了最大程度地避免这类事件的发生,提高系统安全性,就必须做好分配工作,针对不同类别的工作人员,有效且有差异地分配访问权限以及应用范围。图2为用户角度的应用结构。除此之外,无论是数据库怎么写作器还是系统中的敏感数据,都有成为安全隐患的可能性。因为,只要注入攻击者对整个内部网络应用结构的用户层有一定的了解,他们就可以操作互信关系,最终达成注入攻击的目的。从用户角度分析网络应用安全结构出现缺陷的原因,用户安全意识淡薄是最为关键的。
2.2网络角度
网络结构设计对于网络安全来说,有着十分重要的地位与作用,得到了人们广泛的关注。图3是一个网络结构设计,在这一网络结构设计图当中,不难发现,存在着多个不同的组件连接在一起,正是这样的结构造成了网络结构安全的复杂化。一般情况下,结构层次的复杂程度与安全缺陷的偶然性之间呈正比例关系,也就是说结构与层次的复杂程度越高,那么安全缺陷就具有更大的偶然性。2.3怎么写作器角度
怎么写作器内部的组件联系较为密切,同时,在局部区域还可以进行一定程度上的相互调用。对于这种交互式作用来说,它虽然可以对应用程序的使用范围进行一定程度上的拓展,但同时也带来了相应的安全问题,如果操作者对一个模块的使用出现操作失误,或者不法分子对模块进行恶意利用,那么网络结构当中的一个环节就很有可能处于十分危险的状态。例如,从数据库中对系统函数进行调用,这种做法有利也有弊。一方面,通过对系统函数进行一定程度上的调用,可以使得系统的管理者或用户能够获得更多的信息怎么写作;但是,如果非法用户据此逃过认证,那么系统的漏洞就会被其利用,从而对相关的权限进行一定程度上的改变,最终达成攻击的目的,尤其是局域网的攻击。3SQL注入攻击技术分析
对于SQL注入来说,它其实是模拟系统的正常交互过程。一般情况下,是很难将其与正常数据库怎么写作器的访问操作进行区分的,因为两者从表面上看十分相似。正是因为这一原因,目前市场上很少见到会对SQL注入发出警报的防火墙,而如果系统管理员不经常查看怎么写作器日志,则可能被侵入很长一段时间也没有发觉。然而,SQL的注入手法多种多样,且具有较大的灵活性,因此在注入的时候可能会遇到诸多情况。
事实上,SQL注入就是用户向怎么写作器提交内容时,在其中多添加了一些符号或者语句,这样一来,当原本的SQL语句进行执行时,查询条件就会发生改变,然后将攻击者所需要的系统版本、怎么写作器以及相应的数据库类型进行返回,这正是攻击者达到不法目的的手段之一。从这点来看,攻击者的攻击手法就是篡改SQL语法,这样的攻击十分常见。理论上来说,对于所有基于SQL语言标准的数据库软件系统都是有效的,当然,各种软件有自身的特点,而最后的代码可能存在着较大程度上的差异。
SQL注入攻击具有诸多的特征,而在这些特征之中,阶段性无疑是最为典型的。其实SQL注入攻击具有较高的难度,攻击者不可能很轻易地对系统造成攻击,而是需要通过一系列的操作才能达成注入攻击的目的。首先,在正式攻击之前,攻击者需要对相关的信息进行一定程度上的探测与分析,而这一操作需要信息的支持。因此,攻击者还会对相关的信息进行收集,信息主要分为两个大类,分别是目标怎么写作器的操作系统类型和目标怎么写作运行的数据库类型,经过信息收集、信息分析之后,攻击者就可以开始对系统进行攻击。
4Microsoft SQL Server安全配置
目前,虽然存在着多种数据库类型,但多数的数据库类型都是基于SQL语句进行存储管理的,下面就针对Microsoft SQL Server对数据库的安全配置进行阐述与分析。
(1)用户设置。用户设置是安全配置的重要组成部分之一,因此,在对SQL Server用户进行设置时,应当十分谨慎,做好严格而又精确的管理工作,管理对象主要是数据库中的每一个表的各项操作权利,特别是对于普通用户的权限设置与系统管理员用户名的设置。通常,普通用户只需使用数据库角色组便可以了,不需使用怎么写作器角色组,而系统管理员用户名则需进行有效管理,禁止任意改动与设置,因为在任意改动的情况下,就很有可能被权限攻击者使用,然后由此一步一步获取最高权限,最终对系统造成严重的伤害。
(2)文件设置。通过对文件进行有效的加密也可以对安全性进行一定程度的保证,它是一种被动式的保护方式,通过这种保护方式,可以防止攻击者对连接的文件进行修改从而达到绕过相关认证的目的。所以,为了防止该种情况的发生,应该对数据库中的文件进行加密处理,这样一来,攻击者就算通过不法手段获取了相关的数据库文件,也不能对它做任何操作。
(3)系统设置。一般情况下,SQL Server会经常更新与升级,因此,为了提高系统的安全性,需要及时进行最新补丁的安装。同时,网络辅助设备在其中能够发挥一定程度上的作用,因此,需要将其有效利用起来,并通过这些网络辅助设备对某些特定端口的对外连接进行关闭,防止其它非开放式的数据库注入攻击。
5结语
随着信息技术的发展,计算机网络技术取得了较大程度的进步和广泛的应用,由此带来的安全问题也日益突出,这就需要我们不断提升自身信息安全防护知识和技能,做好预先的防范措施,这样才能减少被攻击后的损失。
本文所研究的SQL注入技术及Microsoft SQL Server安全性配置对于Web程序开发者、系统管理人员、网络管理人员具有安全参考价值;对于减少SQL注入攻击的危害,降低Web系统的安全威胁,提高Web程序质量具有重要意义。
参考文献:
\[1\]杨义先,钮心忻.网络安全理论与技术[M].北京:人民邮电出版社,2003.
闪四清.MicrosoftSQLServer2000实用教程[M].北京:人民邮电出版社,2000.
[3]李晓黎,张巍.ASP+SQLServer网络应用系统开发与实例[M].北京:人民邮电出版社,2004.
[4]张兴虎.网络怎么写作器
摘自:毕业论文模板www.udooo.com
的组建、配置与安全管理:Windows版[M].北京:清华大学出版社,2005.[5]舍玛,谢文亮,马睿倩.Web安全手册[M].北京:清华大学出版社,2005.
(责任编辑:余晓)