网管程序员论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 1672|回复: 1

360网站安全检测检测出网站中含SQL注入漏洞,该如何修补?

[复制链接]
发表于 2012-8-25 11:05:42 | 显示全部楼层 |阅读模式
高危
SQL注入漏洞
WASC Threat Classification

描述: 目标存在SQL注入漏洞。

1.SQL注入攻击就是攻击者通过欺骗数据库服务器执行非授权的任意查询过程。

2. SQL注入攻击就其本质而言,它利用的工具是SQL的语法,针对的是应用程序开发者在编程过程中的漏洞,“当攻击者能够操作数据,向应用程序中插入一些SQL语句时,SQL注入攻击就发生了”。实际上,SQL注入攻击是攻击者通过在应用程序中预先定义好的查询语句结尾加上额外的SQL语句元素,欺骗数据库服务器执行非授权的任意查询。SQL注入漏洞是目前互联网最常见也是影响非常广泛的漏洞。从2007年下半年开始,很多网站被篡改。攻击者利用SQL注入漏洞修改了用于生成动态网页的数据库中的文本,从而注入了恶意的HTML script标签。这样的攻击在2008年第一季度开始加速传播,并且持续影响有漏洞的Web程序。

危害: 被SQL注入后可能导致以下后果:

1.网页被篡改

2.数据被篡改

3. 核心数据被窃取

4. 数据库所在服务器被攻击变成傀儡主机

解决方案:

如下一些方法能够防止注入攻击:
1.在网页代码中需要对用户输入的数据进行严格过滤。
2.部署Web应用防火墙
3.对数据库操作进行监控

建议过滤用户输入的数据,切记用户的所有输入都要认为是不安全的。
* 如果您懂编程并且能够修改服务器代码,php语言点击此处下载,asp语言点击此处下载,按照说明文档中进行操作。jsp语言可以参考此处
* 如果您不想修改任何代码,或者不想安装任何软件,且网站有备案的,可以直接使用360网站卫士服务。
 楼主| 发表于 2012-8-25 11:07:00 | 显示全部楼层
网站中含跨站脚本攻击漏洞也可以用这个方法来修补!
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|手机版|Archiver|最新更新|网管程序员社区 鄂ICP备11008024号-3

GMT+8, 2019-10-21 17:40 , Processed in 0.109200 second(s), 25 queries .

Powered by 网管论坛

© 2001-2018 www.027safe.com Inc.

快速回复 返回顶部 返回列表