Πώς να βρείτε + σταματήσουν τις επιθέσεις SQL ένεση

Υπάρχουν πολλά πράγματα εκεί έξω για τις επιθέσεις SQL ένεση, αλλά δεν υπάρχουν πολλά που θα σας βοηθήσουν να υπολογίσετε πώς να σταματήσουν αυτές τις επιθέσεις από την εμφάνιση.

Συζήτηση Καταρχήν, ας για το τι εστί SQL Injection Attack είναι πραγματικά. Μερικοί άνθρωποι σκέφτονται ότι είναι ένας ιός του είδους, που είναι "μέσα σου site." Δεν είναι η υπόθεση. Αυτά είναι bot επιθέσεις από άλλους ιούς μολυσμένων υπολογιστών. Χρησιμοποιούν απλώς μια ωμή προσέγγιση της ισχύος της σάρωσης URLs που λαμβάνουν POST / GET εισροές και προσπαθούν να στείλουν τα δικά τους δεδομένα σε αυτούς.

Έτσι, πώς να παρακολουθείτε αυτές τις κάτω και να σταματήσει τους; Για δικτυακούς τόπους που κινούνται με IIS της Microsoft, εδώ είναι οι προτάσεις μας:

1. Κοιτάξτε IIS σας κορμοί
   Δοκιμάστε να αναζητήσετε τη λέξη "διαπιστώσει" ή "Εκτέλεση". Εάν έχετε πληγεί από μια επίθεση, αυτοί περισσότερο από πιθανώς θα εμφανιστεί στο IIS σας logs - τουλάχιστον για κάθε επίθεση που έγινε απόπειρα που χρησιμοποιούν "GET" θέσεις. Εάν το κάνετε βρείτε τις εμφανίσεις της "ΔΗΛΩΝΩ" ή "Εκτέλεση" αυτές είναι οι σελίδες για να αρχίσει με.
2. Χρήση κεντρικής βάσης δεδομένων σύνδεση χειρισμό
   Απλό, κάνει μια κεντρική αρχείο (π.χ. connection.asp αν χρησιμοποιείτε ASP ) Που χειρίζεται το σύνολο των DB πρόσβασής σας. Με αυτόν τον τρόπο, είναι πιο εύκολο για να βεβαιωθείτε ότι είστε SQL κωδικοποίηση σελίδες σας. Μπορείτε να αναζητήσετε εύκολα ερωτήματα για "ΔΗΛΩΝΟΥΝ" και "Εκτέλεση" και να σταματήσει τις επιθέσεις στη γέννησή τους.
3. Εφαρμογή ενός site λύσης σε επίπεδο
   Εάν εκτελείτε διακομιστή δικό σας, σας συνιστούμε ιδιαίτερα ISAPI_Rewrite από HeliconTech ( http://www.helicontech.com/isapi_rewrite ). Πρόκειται για ένα φίλτρο ISAPI που σας επιτρέπει να κάνετε μια ποικιλία από πράγματα, συμπεριλαμβανομένων των σάρωση URL δεδομένων. Αυτό θα σταματήσει το 99% των επιθέσεων χωρίς καμία αλλαγή κώδικα στο site σας! \
4. Ποτέ μην χρησιμοποιείτε "sa" ως χρήστης της βάσης δεδομένων σας, δημιουργήστε ένα χρήστη για τη βάση δεδομένων εργάζεστε από και στη συνέχεια απομακρύνεται από τα προνόμια για να διαβάσετε το dbo master. Αυτό αποτρέπει τον εισβολέα από το "sniffing" δομή της βάσης δεδομένων σας, ωστόσο, οι επιθέσεις αυτές έχουν εξελιχθεί έτσι ώστε να εξυγιανθεί αποθηκευμένη διαδικασία που βασίζεται επιθέσεις συμβεί ακόμη και με αυτούς τους τύπους της ασφάλειας στο χώρο. Βλ. http://www.ngssoftware.com/papers/more_advanced_sql_injection.pdf για περισσότερες πληροφορίες σχετικά με αυτό και άλλες ιδέες για την πρόληψη επιθέσεων SQL Injection.

Εάν έχετε ποτέ ξύσιμο το κεφάλι σας αναρωτιέστε όπου η διαρροή στον προγραμματισμό σας είναι (ή να έχουν αναλάβει ένα έργο από κάποιον άλλο), τότε ο καλύτερος τρόπος για να καθορίσουν, μέσω των οποίων σελίδα έγινε η επίθεση είναι από τον έλεγχο αρχεία καταγραφής των IIS.

Υπάρχουν πολλά σενάρια διαθέσιμα για τον καθαρισμό, αλλά η καλύτερη συμβουλή είναι να backup ωριαία, και να ακολουθούν τις βέλτιστες πρακτικές (ορισμένες από τις οποίες επεσήμανα εδώ). Καλή τύχη

Ευκολότερος και πιο ολοκληρωμένο εργαλείο μάρκετινγκ Αλληλογραφία

με στόχο iContact κύριο είναι να ενσωματώσει τα περίπλοκα χαρακτηριστικά γνωρίσματα σε ένα απλό, εύχρηστο και οικονομικό πακέτο. Παρά το γεγονός ότι πολλά προγράμματα προσπάθεια να επιτευχθεί η ισορροπία αυτή, iContact κάνει τόσο απίστευτα καλά.

Μεγάλη διεπαφής χρήστη

iContact είναι σε θέση να το κάνετε αυτό, λόγω της διεπαφής χρήστη τους μεγάλη, η οποία επιτρέπει τον καθορισμό νέας εμπορικής προώθησης email προσκρούσει στο έδαφος σε λειτουργία με τις βασικές λειτουργίες, αλλά και το καθιστά απλό για τους πιο έμπειρους να πρόσβαση στις λειτουργίες που χρειάζονται. Είτε έτσι είτε αλλιώς, iContact έχει δημιουργήσει ένα τρομερό προϊόν, το οποίο είναι ο λόγος για περισσότερους από 50.000 πελάτες χρησιμοποιούν επί του παρόντος iContact.

Βασικά Χαρακτηριστικά θα αγαπήσετε

iContact καθιστά εύκολο για τους νέους εμπόρους email για να μπείτε στο παιχνίδι γρήγορα:

• Ανέξοδες: μόλις κάτω από $ 10/month για να ξεκινήσετε!
• Πάνω από 300 επαγγελματικά σχεδιασμένα templates email κάνουν τα emails σας να φαίνεται επαγγελματική
• Χρονοδιάγραμμα σας μηνύματα που θα διανεμηθεί στο μέλλον να βοηθήσουν στην εξοικονόμηση χρόνου
• Το σύστημα τους κάνει αυτόματα σίγουρος email σας δεν θα πρέπει να επισημανθεί ως SPAM, έτσι ώστε οι χρήστες σας θα παίρνουν πάντα τα email σας.
• Παρακολουθείτε τι συνδρομητές σας κάνει με τα emails σας, ώστε να γνωρίζετε πόσο καλά τα ενημερωτικά δελτία σας έχουν παραληφθεί.
• Εκδήλωση RSVP εντοπισμού
• Διανείμετε έρευνες εύκολα

.

.

Προηγμένα χαρακτηριστικά θα αγαπήσετε

Επαγγελματικό μάρκετινγκ ηλεκτρονικού ταχυδρομείου επίσης να πάρετε όλα όσα χρειάζονται για να διαχειριστούν μεγαλύτερο μέρος τους καταλόγους ηλεκτρονικού ταχυδρομείου τους:

• Γρήγορα τμήμα λίστα e-mail σας για να προσαρμόσετε το είδος συνδρομητή πάρει ορισμένα μηνύματα ηλεκτρονικού ταχυδρομείου
• Set-up autoresponders για να αυτοματοποιήσετε το email σας καμπάνιες
• iContact διατηρεί ένα λεπτομερές ιστορικό των ενεργειών συνδρομητή για να σας βοηθήσει να προσαρμόσετε τις καμπάνιες σας
• Σχεδιασμός και ανεβάστε το email σας το δικό πρότυπα
• Απεριόριστος αριθμός των καταλόγων ηλεκτρονικού ταχυδρομείου

Απαισιόδοξη: Υποστήριξης iContact Ώρες

Το μόνο μειονέκτημα σε iContact είναι τις ώρες που διατίθενται για την πρόσκληση. Στήριξη δεν είναι 24 × 7, αλλά από 8am σε 8μμ EST. Ωστόσο, το προσωπικό υποστήριξής τους είναι πολύ χρήσιμη, και πολλές φορές θα διαπιστώσετε ότι είναι πραγματικά εύκολο στη χρήση online βάση τη γνώση τους, το οποίο έχει διαδηλώσεις βίντεο και βήμα-βήμα οδηγίες για να σας βοηθήσει με ό, τι χρειάζεστε.

iContact Τιμολόγηση

Με την τιμολόγηση iContact χαρά, πληρώνετε μόνο για το ποσό των μηνυμάτων ηλεκτρονικού ταχυδρομείου που πρόκειται να αποστείλει, το οποίο σημαίνει ότι μπορείτε να ξεκινήσετε με ένα ανέξοδο σχέδιο και πληρώνουν περισσότερα μόνο όταν γνωρίζετε ότι το ενημερωτικό δελτίο σας είναι επιτυχής. Πλέον, iContact είναι μία από τις πιο προσιτές παρόχους μάρκετινγκ ηλεκτρονικού ταχυδρομείου διαθέσιμες.

Επαφές	Μηνιαίος
250	9,95 δολάρια
500	14,00 δολάρια
1000	19,00 δολάρια
2500	29,00 δολάρια
5000	47,00 δολάρια
10000	74,00 δολάρια
15000	109,00 δολάρια
25000	149,00 δολάρια
35000	239,00 δολάρια
50000	379,00 δολάρια
75000	529,00 δολάρια
100000	699,00 δολάρια

Είναι σωστό για σας;

Λόγω των χαρακτηριστικών της και την ευκολία χρήσης, iContact είναι καλύτερο και για τους δύο νέους εμπόρους email μόλις ξεκινήσατε καθώς και προηγμένες έμποροι e-mail που έχουν χρόνια εμπειρίας. Ωστόσο, εάν είστε εταιρεία Fortune 500 ή θα έχουν μια εξαιρετικά μεγάλη λίστα ηλεκτρονικού ταχυδρομείου (πάνω από 100.000 συνδρομητές), iContact πιθανόν να μην είναι κατάλληλο για σας.

Βασικά, iContact έχει όλα όσα θα πρέπει να εκτελέσετε επιτυχημένες καμπάνιες μάρκετινγκ ηλεκτρονικού ταχυδρομείου.

Επίσπευση ιστοσελίδα φορτίο του χρόνου, στερώντας εντοπισμού

Πρόσφατα έχει dawned επάνω μου ότι δεν γνωρίζουν όλοι σχετικά με την παρακολούθηση των cookies ή analytics (Google και ούτω καθεξής), καθώς και τι πραγματικά σημαίνει όταν επισκέπτεστε ιστοσελίδες ... Είναι πάντα θεωρείται ως μια μορφή κατάσκοπος-ware ή hacking Trojan για να βοηθήσει τους ανθρώπους να συγκεντρώνουν πληροφορίες και να εκμεταλλευτούν είναι προς όφελός τους. Αυτό είναι απολύτως σωστό, ωστόσο, δεν είναι σε "hacking" αίσθηση ...

Οι Διαφημιστικές εταιρείες λάτρης των στατιστικών στοιχείων που απαιτεί και τις δημογραφικές πληροφορίες από μια ιστοσελίδα, πριν έχουν την τάση να επενδύουν σε διαφήμιση και οι περισσότερες ιστοσελίδες (αν όχι όλες) έχουν εγκατεστημένο το Google Analytics για να τους βοηθήσουν να παρακολουθείτε τους χρήστες τους για πολύ ισχυρό εκθέσεις ως προς τις τάσεις, όταν επισκέπτονται το δικτυακό τόπο . Σε συνδυασμό με Webmaster Tools (επίσης ένα προϊόν της Google) και ορισμένα στοιχεία σύγκρισης από τη φυσική server logs, αυτό είναι κάτι περισσότερο από αρκετό για να παρακολουθείτε τις τάσεις, τους επισκέπτες και χρήσιμες πληροφορίες, όταν δίνει την δυνατότητα στους διαφημιστές να αποφασίσει εάν ο ιστοχώρος σας είναι πράγματι αξίζει να επενδύσουν in.

Εισάγετε τη δυνατότητα υποβολής Nielsen. Ισχυρίζονται ότι είναι η ηγέτες κατά τη συλλογή δεδομένων και χρήσιμες πληροφορίες για το κοινό η επίσκεψη σε ένα συγκεκριμένο δικτυακό τόπο. Πράγματι, αυτό που ισχυρίζονται είναι πολύ ωραία, αλλά πώς πηγαίνουν για την επίτευξη αυτού του σύνορα για την "spyware" πλευρά.

Από σύντομη επισκόπηση μου ο κώδικας παρακολούθησης εγκατασταθεί σε διάφορες ιστοσελίδες της Νότιας Αφρικής, βρήκα ότι πολλές απόπειρες δημιουργίας "αντικείμενα" με client-side κώδικα JavaScript έδωσε τη δυνατότητα να καθορίσουν ποια προγράμματα έχετε εγκαταστήσει στον υπολογιστή σας. Πράγματι, πολύ ενδιαφέρουσα.

Ποια θα ήταν μια εταιρία θέλει με αυτό το είδος των πληροφοριών που ούτως ή άλλως; Γιατί να μην αφήσετε μόνο στο Google Analytics, μια πολύ γνωστή ιστοσελίδα εντοπισμού και αναλυτικά το λογισμικό που είναι ελεύθερα διαθέσιμα σε όλους και ο καθένας;

Κάτι να κρύψει ίσως, αλλά μπορώ μόνο εικασίες ως προς τους λόγους τους. Ίσως κάποια advertisors επιμένουν σε αυτό το συγκεκριμένο κομμάτι του κώδικα παρακολούθησης που έχουν εγκατασταθεί στην ιστοσελίδα. Κανείς δεν θα παρατηρήσετε σωστά;

Λοιπόν, κάποιες πιο προχωρημένους χρήστες έχουν και τα περισσότερα από αυτά έχουν γίνει κάτι γι 'αυτό ήδη, την επιτάχυνση της Νότιας Αφρικής ιστοσελίδες τους από αισθητή ποσά, από όπου και αν απολαμβάνοντας μια γεύση του τι ισχύει ευρυζωνικές ταχύτητες είναι όπως και σε άλλες χώρες, και με αυτό το μικρό tutorial, οπότε μπορεί να σας!

Εδώ είναι πώς!
Διαβάστε περισσότερα

Η αλλαγή Ιδιοκτησία πίνακα του SQL Server

Πρόσφατα είχα την ατυχή περίπτωση ενός ζωντανού server που setup και χρησιμοποιούνται μόνο κατά 1 χρήστης που δεν ήταν dbo. Είτε ο προγραμματιστής δεν ξέρει καθόλου καλύτερα ή ... καλά ... ήταν ο ηλίθιος χωριό ... τέλος πάντων, έτσι ... για τον κώδικα. Εδώ είναι ένα απλό T-SQL δήλωση ότι θα πάρει και τη θηλιά μέσα από όλες τις αποθηκευμένες διαδικασίες, πίνακες και προβολές και τα ενημερώνει για τη χρήση dbo (ή οποιοδήποτε άλλο χρήστη που θέλετε):

  1
 2
 3
 4
 5
 6
 7
 8
 9
 10
 11
 12
 13
 14
 15

 sysobjects WHERE xtype IN ( 'U' , 'V' , 'P' ) AND uid = user_id ( 'olddbuser' ) OPEN tblcur WHILE 1 = 1 BEGIN FETCH tblcur INTO @tbl IF @@fetch_status < 0 BREAK SET @tbl = 'olddbuser.' + @tbl EXEC sp_changeobjectowner @tbl , 'dbo' END DEALLOCATE tblcur ΔΗΛΩΝΟΥΝ @ TBL sysname ΔΗΛΩΝΩ tblcur αδρανείς δρομέα για SELECT sysobjects ΑΠΟ ΟΠΟΥ όνομα xtype IN («U», «V», «Ρ») ΚΑΙ uid = user_id («olddbuser») OPEN tblcur ΕΝΩ 1 = 1 BEGIN φέρω tblcur INTO @ TBL ΑΝ @ @ fetch_status <0 BREAK SET @ TBL »olddbuser =". + @ TBL EXEC sp_changeobjectowner @ TBL, «dbo 'ΤΕΛΟΣ Σύμβολα αναγνωρισμένα tblcur 

Τι είναι λοιπόν αυτό το CLSID (ABF05265-635E-44B0-A28F-AEA45247ACA0);

Δούλευα σε ένα διακομιστή, όταν παρατήρησα ένα σφάλμα στο Windows Event Log σε αυτή τη μορφή

Τύπος συμβάντος: Σφάλμα
Προέλευση συμβάντος: DCOM
Κατηγορία συμβάντος: Δεν υπάρχει
Event ID: 10016
Χρήστης:
Computer: SERVER1

Περιγραφή:
Η συγκεκριμένη εφαρμογή των ρυθμίσεων άδεια δεν χορηγούν άδεια Τοπική Έναρξη για την εφαρμογή COM Server με CLSID (ABF05265-635E-44B0-A28F-AEA45247ACA0) στο χρήστη SID (S-1-5-21-573225893-205518295-3307690801-69150 ). Αυτό το δικαίωμα ασφαλείας μπορεί να τροποποιηθεί σύμφωνα με το Component Services εργαλείο διαχείρισης.
Εκταφή για το ληξιαρχείο μου έδωσε αυτές τις πληροφορίες. Η αξία CLSID (ABF05265-635E-44B0-A28F-AEA45247ACA0) συμβαίνει να είναι για Microsoft.SqlServer.Dts.Server.DtsServer.

Έλεγξα τα Component Services κονσόλα και άνοιξε το Properties για την εφαρμογή MSDTSServer DCOM. Έχω προσθέσει το λογαριασμό χρήστη που αναφέρεται στο μήνυμα λάθους στην εκκίνηση και ενεργοποίηση Δικαιώματα και ότι έκανε το κόλπο

Πώς να στήσετε ένα Windows 2003 Web Server

Κάθε φορά που στήσετε ένα κουτί W2K3 ως Web Server κάνουμε τα εξής

Στάδιο 1
1.1 Αντιγραφή i386 στο c: \
1.2 Ρύθμιση των Windows Άδειες σε όλα τα διαμερίσματα
- Αφήστε
Οι διαχειριστές (Full)
Σύστημα (Full)
Αφαιρέστε Όλα τα υπόλοιπα
1,3 Administrator Μετονομασία
1,4 Machine Μετονομασία
1.5 Επανεκκίνηση
1.6 Εγκατάσταση των Windows Updates (δεν το. NET Frameworks)
1.7 Προσθήκη IP για TCP / IP
1.8 Προσθήκη επίθεμα DNS για το πρωτόκολλο TCP / IP (Μόνο εάν απαιτείται)
1,9 Απενεργοποίηση Tracker Εκδήλωση Shutdown
1,10 Επανεκκίνηση

Στάδιο 2
2,1 Εγκαταστήστε τα εργαλεία υποστήριξης
2,2 Εγκαταστήστε Εργαλεία Κιτ πόρων
2,3 Εγκατάσταση KB908521 (Δεν απαιτείται εάν w2k3 SP2)
2,4 Εγκατάσταση SNMP
2,5 Εγκατάσταση SNMP Informant
2,6 Ρύθμιση ώρας των Windows
2.7 Επανεκκίνηση

Στάδιο 3
3,1 Εγκατάσταση R2 (Μόνο αν το θέλετε)
3.2 Επανεκκίνηση

Στάδιο 4
4.1 Ρύθμιση Αυτόματες ενημερώσεις
4,2 DNS MS Εγκατάστασης
4,3 TCP Set / IP για την Τοπική DNS
4,4 MSTDC Fix

Στάδιο 5
Εγκατάσταση IIS 5,1
5.2 επιτρέπει την άμεση μετα-Επεξεργασία
5,3 Ρύθμιση IIS της IP που πρέπει να ακούγονται σε
5.4 Επανεκκίνηση των υπηρεσιών IIS
5,5 Set Default Έγγραφα
5,6 W3SVC Set Logs Params
5,7 Εγκατάσταση FastCGI
5,8 Εγκατάσταση PHP 5.1 & 5.2 (FastCGI Mode)
5,9 Εγκατάσταση Zend Optimizer (32bit έκδοση)
5.10 Εγκατάσταση Perl
5.11 Εγκατάσταση Python
5,12 Ρύθμιση IIS SMTP
5,13 Απενεργοποίηση Socket SMTP IIS Συγκέντρωση
- Http://www.isaserver.org/tutorials/i ... etpooling.html
5,14 Επανεκκίνηση

Βήμα 6
6,1 Εγκαταστήστε. NET Framework 2.0
6,2 Εγκαταστήστε. NET Framework 2.0 SP1
6,3 Εγκαταστήστε. NET AJAX 1,0
6,4 Εγκαταστήστε. NET Framework 3,5 (Σιγουρευτείτε ότι χρησιμοποιείτε τον εγκαταστάτη χωρίς SP1)
6,5 Εγκαταστήστε. NET Framework 3.5 SP1 (Μόνο εάν χρησιμοποιείτε Helm 4.1)
6.6 Επανεκκίνηση

Βήμα 7
7,1 Εγκατάσταση ISAPI_ReWrite
7,2 Εγκατάσταση JMail.NET
7,3 Εγκατάσταση W3JMail
7,4 Εγκατάσταση Blocker Hotlink
7,5 Εγκατάσταση IIS κωδικό
7,6 Εγκατάσταση Winrar
7,7 Εγκαταστήστε Παραμονή ASP Email
7,8 Εγκαταστήστε Παραμονή ASP Jpeg
7,9 Εγκαταστήστε Παραμονή ASP Ανεβάστε
7,10 Επανεκκίνηση

Φυσικά, αν η θέση δεν πρόκειται να είναι ένα DNS Server, τότε δεν θα εγκαταστήσετε MSDNS, οδηγίες ισχύουν τόσο για 32bit και 64bit w2k3. Είμαι δεν πρόκειται να εξηγήσει κάθε βήμα λεπτομερώς οι πληροφορίες είναι ακριβώς έτσι μπορείτε να δείτε ποια είναι η σειρά που κάνουμε τα πράγματα. Έχει πολύ καλά δοκιμαστεί και δεν είχαμε οποιαδήποτε ζητήματα

Σε κάθε βήμα που κάνουμε ό, τι δοκιμή τοποθετούμε έτσι ώστε να βεβαιωθείτε ότι η PHP λειτουργεί σωστά πριν προχωρήσουμε στο επόμενο βήμα. Αν χρειαστεί να εγκαταστήσετε το MySQL ή MSSQL το έκανα στο Βήμα 8. Μετά τα πάντα είναι setup θα εγκαταστήσετε Helm ως απομακρυσμένες ή ελέγχου.