针对MS SQL SERVER的安全防御方案

发表于:2007-07-13来源:作者:点击数: 标签:
我将整个防御方案分为两个部分:防御MS SQL SERVER服务本身的漏洞解决方案、防止SQL注入脚本攻击 的解决方案。 1)防御MS SQL SERVER服务本身的漏洞解决方案 ①使用 网络 防火墙过滤非本地对MS SQL SERVER的服务请求。 最简单的方法就是在MS SQL SERVER本地
我将整个防御方案分为两个部分:防御MS SQL SERVER服务本身的漏洞解决方案、防止SQL注入脚本攻击

的解决方案。

1)防御MS SQL SERVER服务本身的漏洞解决方案

①使用网络防火墙过滤非本地对MS SQL SERVER的服务请求。

最简单的方法就是在MS SQL SERVER本地主机上安全如天网之类的个人防火墙,添加下面的规则群:

规则一:允许本机访问本地的TCP1433与UDP1434端口

规则二:阻止所有地址访问本机的TCP1433与UDP1434端口

注:规则一的优先执行级别必须比规则二高。

这样就可以了。

②定期使用MBSA扫描MS SQL SERVER的服务器,并确保MS SQL SERVER的补丁版本为最新版。

附录:MBSA的使用说明请看:

http://demonalex.nease.net/mbsa/index.html

③检查是否存在弱口令问题。

2)防止SQL注入脚本攻击的解决方案

①修改IIS目录的默认设置路径。

②使用SecureIIS过滤特殊字符/字符串。

附录:特殊字符/字符串包括:

有可能被攻击者利用的SQL语句。

select、having、group、from、where、update、insert、create、exec、execute

有可能被攻击利用的扩展存储过程。

xp_、sp_

一些特殊的符号。

@、%、;、'、"、!、--、1=1

③在IIS中设置特殊的出错信息,保证攻击者不能在出错信息中得到任何他们想需要得到的信息。

附录:具体操作如下:

打开IIS中WEB服务的“属性”-》“主目录”一栏-》“配置...”按钮-》“应用程序调试”一栏-》选定“

发送文本错误消息给客户”-》“确定”

④在调用数据库时尽可能不使用操作员(dbo)或sa帐号,以减低被入侵的风险性。

⑤保证网站所使用的脚本源码是保密的。

⑥加强管理员入口路径的强壮度。

  

原文转自:http://www.ltesting.net