摘要:
一般的黑客攻击SQL Server时,首先采用的方法是执行master扩展存储过程xp_cmdshell命令来破坏数据库,为了数据库安全起见,最好禁止使用xp_cmdShell xp_cmdshell可以让系统管理员以操作系统命令行解释器的方式执行给定的命令字符串, 并以文本行方式返回任何输出,是一个功能非常强大的扩展存贮过程。 一般情况下,xp_cmdshell对管理员来说也是不必要的... 阅读全文
摘要:
Global.asax 文件,有时候叫做 ASP.NET 应用程序文件,提供了一种在一个 中心位置响应应用程序级或模块级事件的方法。你可以使用这个文件实现应 用程序安全性以及其它一些任务。 Global.asax 文件被配置为任何(通过 URL 的)直接 HTTP 请求都被自 动拒绝,所以用户不能下载或查看其内容。ASP.NET 页面框架能够自动识别 出对Global.asax 文件所做的任... 阅读全文
摘要:
SQL Server应用程序中的高级SQL注入 2004-08-14 jabby12 安全之门第六期内容回顾 2005-12-06 net19661891 Sql-Server应用程序的高级Sql注入 2005-08-31 scrub SQL Server应用程序中的高级SQL注入(2) 2005-05-01 longrujun 增强Web的安全性 200... 阅读全文
摘要:
[目 录] [概要] [介绍] [通过错误信息获取信息] [更深入的访问] [xp_cmdshell] [xp_regread] [其他扩展存储] [联合服务器] [用户自定义扩展存储] [向表中导入文本文件] [利用BCP创建文本文件] [SQL-Server里的ActiveX 脚本] [存储过程] [高级Sql注入] [没有引号的字符串] [Sql-Injection二次注入] [长度限制] ... 阅读全文
摘要:
SQL注入是常见的利用程序漏洞进行攻击的方法,是很多入门级“黑客”喜欢采用的攻击方式,近来网上对它的讨论很热烈,所以我在本期专题中为读者揭示SQL攻击的主要原理以及如何防范这种攻击。攻击源于程序漏洞 SQL注入原理导致SQL注入攻击的漏洞并非系统造成的,主要是程序员在编程中忽略了安全因素,他的原理并不复杂。引 言 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由... 阅读全文
摘要:
(此文章是对网上大量同类文章的分析与总结,并结合自己实施过程中的体会综合而成,其中有不少直接引用,没有注意出处,请原作者见谅) 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想... 阅读全文