網(wǎng)站漏洞修復(fù)方案防止SQL注入攻擊漏洞

SQL注入漏洞在網(wǎng)站漏洞里面屬于高危漏洞，排列在前三，受影響范圍較廣，像asp、.net、PHP、java、等程序語言編寫的代碼，都存在著sql注入漏洞，那么如何檢測(cè)網(wǎng)站存在sql注入漏洞？

SQL注入漏洞測(cè)試方法

在程序代碼里不管是get提交,post提交，cookies的方式，都可以有隨意控制參數(shù)的一個(gè)參數(shù)值，通過使用sql注入工具，經(jīng)典的sqlmap進(jìn)行檢測(cè)與漏洞利用，也可以使用一些國內(nèi)的SQL代碼注入工具，最簡單的安全測(cè)試方法就是利用數(shù)據(jù)庫的單引號(hào)， AND 1=1 AND 1=2等等的字符型注入來進(jìn)行測(cè)試sql注入漏洞。

SQL注入漏洞解剖

在網(wǎng)站的程序代碼里，有很多用戶需要提交的一些參數(shù)值，像get、post的數(shù)據(jù)提交的時(shí)候，有些程序員沒有對(duì)其進(jìn)行詳細(xì)的安全過濾，導(dǎo)致可以直接執(zhí)行SQL語句，在提交的參數(shù)里，可以摻入一些惡意的sql語句命令，比如查詢admin的賬號(hào)密碼，查詢數(shù)據(jù)庫的版本，以及查詢用戶的賬號(hào)密碼，執(zhí)行寫入一句話木馬到數(shù)據(jù)庫配置文件，執(zhí)行系統(tǒng)命令提權(quán)，等等.

SQL注入漏洞修復(fù)

在最底層的程序代碼里，進(jìn)行sql漏洞修補(bǔ)與防護(hù)，在代碼里添加過濾一些非法的參數(shù)，服務(wù)器端綁定變量，SQL語句標(biāo)準(zhǔn)化，是防止網(wǎng)站被sql注入攻擊的最好辦法。Sine安全公司是一家專注于：網(wǎng)站安全、服務(wù)器安全、網(wǎng)站安全檢測(cè)、網(wǎng)站漏洞修復(fù),滲透測(cè)試,安全服務(wù)于一體的網(wǎng)絡(luò)安全服務(wù)提供商。

一、程序代碼里的所有查詢語句，使用標(biāo)準(zhǔn)化的數(shù)據(jù)庫查詢語句API接口，設(shè)定語句的參數(shù)進(jìn)行過濾一些非法的字符，防止用戶輸入惡意的字符傳入到數(shù)據(jù)庫中執(zhí)行sql語句。

二、對(duì)用戶提交的的參數(shù)安全過濾，像一些特殊的字符（，（）*&……%#等等）進(jìn)行字符轉(zhuǎn)義操作,以及編碼的安全轉(zhuǎn)換。

三、網(wǎng)站的代碼層編碼盡量統(tǒng)一，建議使用utf8編碼，如果代碼里的編碼都不一樣，會(huì)導(dǎo)致一些過濾被直接繞過。

四 、網(wǎng)站的數(shù)據(jù)類型，必須確定，是數(shù)字型，就是數(shù)字型，字符型就是字符型，數(shù)據(jù)庫里的存儲(chǔ)字段類型也設(shè)置為ini型。

五 、對(duì)用戶的操作權(quán)限進(jìn)行安全限制，普通用戶只給普通權(quán)限，管理員后臺(tái)的操作權(quán)限要放開，盡量減少對(duì)數(shù)據(jù)庫的惡意攻擊。

六、網(wǎng)站的報(bào)錯(cuò)信息盡量不要返回給客戶端，比如一些字符錯(cuò)誤，數(shù)據(jù)庫的報(bào)錯(cuò)信息，盡可能的防止泄露給客戶端。

七、如果對(duì)網(wǎng)站程序代碼不熟悉的話建議交給專業(yè)做安全的公司專業(yè)處理,國內(nèi)推薦Sinesafe,綠盟,啟蒙星辰。