श्रेणियाँ
अनुवादक

By N2H
प्रायोजित
टैग
Amp क्लासिक एएसपी सही सिंटेक्स देश डाटाबेस दिनांक प्रारूप डीडी प्रतिनिधि डाउनलोड पृष्ठभूमि चलाना Getdate दिल में दर्द Hobbyists उदाहरण इंट्रानेट प्रणाली आईपी पता IP संख्या भाषाएँ Microsoft गलती सुश्री प्रवेश php प्रोग्रामर प्रोग्रामर्स प्रोग्रामिंग फील्ड प्रगति बार प्रश्न रॉ डेटा सर्वर 2000 सर्वर उदाहरण बेशर्म अधिनियम रजत गोली के माध्यम से लूप सोने की रातों की नींद हराम मठ एसक्यूएल सर्वर SQL वक्तव्य Startswith संग्रहित प्रक्रिया प्रतिभू समयक्षेत्र सेटिंग्स चर वेब अनुरोध वेयरवोल्फ yyyy स्पीड

कैसे पता + SQL इंजेक्शन हमलों को रोकना

13 नवम्बर 2009 AcidRaZor · द्वारा एक टिप्पणी छोड़ दो
के तहत दायर:. NET, शास्त्रीय एएसपी, होस्टिंग, 6.0 आईआईएस, 101 प्रोग्रामिंग, SQL सर्वर

वहाँ बाहर एक चीज़ के बारे में बहुत SQL इंजेक्शन हमला है, लेकिन वहाँ है कि बहुत मदद मिलेगी आपको पता लगाना कैसे उत्पन्न से इन हमलों को रोकने के लिए नहीं है.

पहले, चलो क्या एक SQL इंजेक्शन हमला वास्तव में है के बारे में बात करते हैं. कुछ लोगों को लगता है कि यह एक तरह का वायरस है, कि आपकी साइट के अंदर है. "का मामला नहीं है. इन अन्य वायरस संक्रमित कंप्यूटर द्वारा बीओटी हमले कर रहे हैं. वे केवल यूआरएल स्कैनिंग कि डाक ले / जानकारी और उन्हें अपने डेटा भेजने की कोशिश प्राप्त की एक जानवर बल दृष्टिकोण का उपयोग करें.

तो, कैसे हो आप इन नीचे और उन्हें रोकने के ट्रैक? वेब है Microsoft आईआईएस के द्वारा संचालित साइटों के लिए, यहाँ हमारा सुझाव हैं:

अपने आईआईएस लॉग देखो
शब्द "घोषित" या चलाएँ 'के लिए खोज का प्रयास करें. "यदि कम से कम किसी भी हमले के लिए आप एक हमले की है, इन से ज्यादा अपने आईआईएस लॉग में प्रदर्शित होने की संभावना - इच्छा से मारा गया है कि प्रयोग' जाओ 'पदों की कोशिश की थी. यदि आप 'की घोषणा किसी भी उदाहरण मिल कर "या" Execute "इन पन्नों के साथ शुरू कर रहे हैं.
इस्तेमाल की केंद्रीकृत डेटाबेस कनेक्शन हैंडलिंग
सरल, एक केंद्रीकृत फ़ाइल (जैसे connection.asp करना अगर तुम एएसपी प्रयोग कर रहे हैं ) कि आपके DB उपयोग के सब संभालती है. इस तरह, यह सुनिश्चित करें कि आप अपने पृष्ठों एसक्यूएल हैं एन्कोडिंग करना आसान है. आप आसानी से 'के लिए घोषित प्रश्नों खोज' कर सकते हैं और "Execute" और बंद अपने पटरियों में मर हमला करता है.
लागू करने के एक साइट व्यापक समाधान
यदि आप अपने खुद के सर्वर पर चल रहे हैं, हम बहुत HeliconTech से ISAPI_Rewrite सिफारिश (http://www.helicontech.com/isapi_rewrite). यह एक ISAPI फिल्टर है कि आप सहित यूआरएल डेटा स्कैन चीजों की एक किस्म है, करने की अनुमति देता है. यह आपकी साइट पर कोई कोड बदलने के बिना हमले के 99% बंद करो! करेंगे \
कभी अपने डेटाबेस उपयोगकर्ता के रूप में "सा" उपयोग करते हैं, आप डेटाबेस से काम कर रहे हैं तो और विशेषाधिकारों को हटाने के लिए गुरु dbo पढ़ने के लिए एक प्रयोक्ता बनाएँ. इस 'सूँघने से अपने डेटाबेस संरचना "हमलावर रोकता है, तथापि, इन हमलों विकसित किया है ताकि साफ संग्रहीत प्रक्रिया आधारित हमलों सुरक्षा के स्थान पर इन प्रकार के साथ भी हुआ. के बारे में अधिक जानकारी के लिए http://www.ngssoftware.com/papers/more_advanced_sql_injection.pdf देखो इस और अन्य विचारों SQL इंजेक्शन हमलों को रोकने में.

अगर तुम कभी अपने सिर scratching है सोच जहाँ आपके प्रोग्रामिंग में रिसाव (या किसी और से एक परियोजना पर ले लिया है) तो सबसे अच्छा तरीका है पृष्ठ के माध्यम से जो हमला तय हुआ बाहर की जाँच कर रहा है आईआईएस लॉग.

वहाँ कई सफाई लिपियों उपलब्ध हैं, लेकिन सबसे अच्छी टिप बैकअप प्रति घंटा है, और सर्वोत्तम प्रथाओं (जिनमें से मैं यहाँ पर कुछ प्रकाश डाला) का पालन करें. सौभाग्य

साझा करें और आनंद लें: