MSSQL 显错模式注入是指 SQL 显错模式,这类模式是采取显式(explicit)毛病来肯定注入攻击,继而开始进行攻击。当用户提交一条 SQL 语句时,如果这条 SQL 语句中含有某种情势的毛病,MSSQL 将显示一条详细的毛病信息并中断履行。
MSSQL 显错模式注入不但适用于 MSSQL 数据库,对其他一些数据库也一样适用,例如MySQL,Oracle等。它的原理就是如果数据库可以将毛病显现出来,黑客就能够利用此特点来进行注入攻击。
MSSQL 显错模式注入带来的安全隐患非常大,由于数据库在报错时可能会流露大量敏感信息,例如数据库版本、用户名、表名等,这些敏感信息被泄漏出来极可能就会被黑客利用,对系统带来不可估计的安全隐患。
应对 MSSQL 显错模式注入,应先采取过滤语句技术,过滤用户提交的 SQL 语句,去掉注入脚本,以避免 SQL 注入。同时,可以将没必要要的毛病消息进行精简,来避免黑客从返回结果中获得信息。
具体实现代码以下:
SET ANSI_WARNINGS OFF
GO
SET QUOTED_IDENTIFIER OFF
GO
SET SHOW_ERRORS OFF
GO
— 其他SQL语句
GO
最后,应一般多测试,尽早发现问题,以避免出现安全漏洞。
总之,MSSQL 显错模式注入的安全隐患极大,要想防范这类安全风险,最好的方法就是弱点加固、过滤脚本、精简毛病消息并测试等方法。
本文来源:https://www.yuntue.com/post/235779.html | 云服务器网,转载请注明出处!
微信扫一扫打赏
支付宝扫一扫打赏
