日前SQL INJECTION的攻擊測試愈演愈烈,很多大型的網站和論壇都相繼被注入。這些網站一般使用的多為SQL Server數據庫,正因為如此,很多人開始懷疑SQL SERVER的安全性。其實SQL SERVER 2000已經通過了美國政府的C2級安全認證-這是該行業所能擁有的最高認證級別,所以使用SQL SERVER還是相當的安全的。當然和ORCAL、DB2等還是有差距,但是SQL SERVER的易用性和廣泛性還是能成為我們繼續使用下去的理由。那怎麼樣才能使SQL Server的設置讓人使用的放心呢?
第一步肯定是打上SQL Server最新的安全補丁,現在補丁已經出到了SP3。下載地址:。如果這一步都沒有做好,那我們也沒有繼續下去的必要了。
第二步是修改默認的1433端口,並且將SQL SERVER隱藏。這樣能禁止對試圖枚舉網絡上現有的 SQL Server 客戶端所發出的廣播作出響應。另外,還需要在TCP/IP篩選中將1433端口屏蔽掉,盡可能的隱藏你的SQL SERVER數據庫。這樣子一但讓攻擊創建了SQL Server的賬號,也不能馬上使用查詢分析器遠程登陸來進行下一步的攻擊。單從ASP,PHP等頁面構造惡意語句的話,還有需要查看返回值的問題,總比不上直接查詢分析器來得利落。所以我們首先要做到即使讓別人注入了,也不能讓攻擊者下一步做得順當。修改方法:企業管理器 你的數據庫組 屬性 常規 網絡配置 TCP/IP 屬性 ,在這兒將你的默認端口進行修改,和SQL Server的隱藏。
第三步是很重要的一步,SQL INJECTION往往在WEB CODE中產生。而做為系統管理員或者數據庫管理員,總不能常常的去看每一段代碼。即使常常看代碼,也不能保證我們在上面的疏忽。那怎麼辦?我們就要從數據庫角色著手,讓數據庫用戶的權限劃分到最低點。SQL SERVER的默認權限讓人真的很頭疼,權限大得非常的高,權限小的又什麼都做不了,SYSADMIN和db_owner真是讓人又愛又恨。攻擊者一但確認了網站存在SQL INJECTION漏洞,肯定有一步操作步驟就是測試網站的SQL SERVER使用者具有多大的權限。一般都會借助SELECT IS_SRVROLEMEMBER('sysadmin'),或者SELECT IS_MEMBER('db_owner'),再或者用user = 0(讓字符和數字進行比較,SQL Server就會提示了錯誤信息,從該信息中即可知道一些敏感信息)等語句進行測試。方法還有,我也不敢多說了。其一怕錯,其二怕聯盟中的人扁。在當前,如果網站的數據庫使用者用的是SA權限,再加上確認了WEB所處在的絕對路徑,那麼就宣告了你的網站的OVER。db_owner權限也一樣,如果確認了絕對路徑,那麼有50%的機會能給你的機器中上WEB 方式的木馬,如海陽等。所以這兒我們確認了一點,我們必須要創建自已的權限,讓攻擊者找不著下嘴的地方。在這兒引用一個SQL Server聯機幫助中的例子:
創建 SQL Server 數據庫角色的方法(企業管理器)
創建 SQL Server 數據庫角色
1. 展開服務器組,然後展開服務器。
2. 展開"數據庫"文件夾,然後展開要在其中創建角色的數據庫。
3. 右擊"角色",然後單擊"新建數據庫角色"命令。
4. 在"名稱"框中輸入新角色的名稱。
5. 單擊"添加"將成員添加到"標准角色"列表中,然後單擊要添加的一個或多個用戶。(可選)
只有選定數據庫中的用戶才能被添加到角色中。
對象權限
處理數據或執行過程時需要稱為對象權限的權限類別:
· SELECT、INSERT、UPDATE 和 DELETE 語句權限,它們可以應用到整個表或視圖中。
· SELECT 和 UPDATE 語句權限,它們可以有選擇性地應用到表或視圖中的單個列上。
· SELECT 權限,它們可以應用到用戶定義函數。