| 發佈時間:2008.04.25 04:53 來源:賽迪網 作者:Chad |
【賽迪網-IT技術報導】什麼是SQL 指令植入式攻擊?
在設計或者維護Web網站時,你也許擔心它們會受到某些卑鄙用戶的惡意攻擊。的確, 如今的Web網站開發者們針對其站點所在操作系統平台或Web 服務器的安全性而展開的討論實在太多了。不錯,IIS 服務器的安全漏洞可能招致惡意攻擊;但你的安全檢查清單不應該僅僅有 IIS 安全性這一條。有些代碼,它們通常是專門為數據驅動(data-driven) 的 Web 網站而設計的,實際上往往同其它IIS漏洞一樣存在嚴重的安全隱患。這些潛伏於代碼中的安全隱患就有可能被稱為「SQL指令植入式攻擊」 (SQL injection) 的手段所利用而導致服務器受到攻擊。
SQL指令植入式攻擊技術使得攻擊者能夠利用Web應用程序中某些疏於防範的輸入機會動態生成特殊的 SQL指令語句。舉一個常見的例子:
某Web網站採用表單來收集訪問者的用戶名和密碼以確認他有足夠權限訪問某些保密信 息,然後該表單被發送到 Web 服務器進行處理。接下來,服務器端的ASP 腳本根據表單提供的信息生成 SQL 指令語句提交到SQL服務器,並通過分析SQL服務器的返回結果來判斷該用戶名/密碼組合是否有效。
為了實現這樣的功能,Web 程序員可能會設計兩個頁面:一個 HTML 頁面 (Login.htm) 用於登錄,另一個ASP 頁面(ExecLogin.asp) 用於驗證用戶權限(即向數據庫查詢用戶名/密碼組合是否存在)。具體代碼可能像這樣:
Login.htm (HTML 頁面)
代碼:<form action="ExecLogin.asp" method="post"> Username: |
資料來源 http://database.ccidnet.com/art/1105/20080424/1431175_1.html
文章標籤
全站熱搜
