数据库是Web的命脉,由于管理者的安全疏漏使得其成为攻击者入侵Web的入口。如何来加固Web数据库呢?笔者就以当前使用比较广泛的Access和MSSQL数据库为例,说说Web数据库的安全防护。 1、Access数据库防下载
数据库被下载这对Web来说几乎是毁灭性的,因为攻击者从中可以获取包括管理员帐户及密码等在内的敏感信息,然后实施进一步的攻击。可被下载的数据库主要是Access数据库,采用这种数据库的Web站点不在少数。防止Access数据库下载,可以从以下几个方面入手。
(1)数据库改名
数据库改名包括两部分,首先将其改成比较生僻的名称,建议名字足够长并使用某些特殊字符以防被攻击者猜中。另外,将mdb后缀改为asp,以防数据库被下载。当然数据库改名后,数据库连接配置文件也要进行修改。
(2)改变数据库路径
站点系统都有默认的数据库路径,由于安全意识淡薄,部署Web站点时有很多人不去修改数据库路径,因而攻击者很容易地猜到该站点的数据库路径。
更改数据库路径,大家可以在站点目录下创建比较生僻的目录,然后将数据库文件拷贝到该目录中。当然,更改数据库路径后,需要修改站点系统的数据库连接文件。一般asp站点系统的数据库连接文件是conn.asp。打开该文件后,然后根据实际情况进行修改,使得其跟当前的数据库路径相一致。
(3)设置好目录权限
要设置好数据库目录的访问权限,原则是权限最小化以防止非正常的访问。因为Web程序是通过IIS用户运行的,我们只要给IIS用户读取和写入权限,然后通过“IIS管理器”把这个目录的脚本执行权限去掉,防止入侵者在该目录中通过上传获得webshell了。
(4)添加mdb的扩展映射
IIS对于不能解析的文件类型就会弹出下载对话框让用户下载,我们可以通过在IIS管理器中添加对mdb的扩展映射,防止数据库被下载。其设置方法是:打开IIS管理器定位到相应的Web站点,右键选择“属性”,然后依次点击“主目录→配置→映射”,在“应用程序扩展”里面添加.mdb文件应用解析,至于用于解析它的可执行文件大家可以自己进行选择,只要让攻击者无法访问数据库文件就可以了。
(5)数据库改造
思路是将数据库后缀名(.mdb)修改为.asp,然后在数据库中加上一个NotDownLoad的表以防数据库被下载。具体操作方法如下:
首先新建一个.asp文件(notdown.asp),其代码如下:
然后在 服务器 端运行notdown.asp,这样在数据库添加了包含notdown字段的notdownload数据表,即可防止数据库的下载,因为notdown有一个值是”< %”,asp运行是因缺少”% >”关闭标记而拒绝访问,下载当然会失败。
2、MSSQL数据库防注入
MSSQL数据库是大中型Web站点常采用的数据库,对于SQL数据最大的威胁是注入。攻击者通过注入来调用SQL语句执行系统命令,因此其危险性更大。一个注入点,有可能造成整个Web服务器的沦陷。防MSSQL注入可以从下面几个方面入手。
(1)慎重选择建站系统
通过站点系统建立一个Web站点是非常容易的,但是某些站点系统代码编写不够严谨,考虑不周,变量过滤不严等使得可被攻击者利用。因此,选择一款安全的站点系统是至关重要的。当然,没有百分之百安全的站点系统。管理员如果懂代码的话可以进行检测分析,看看是否有漏洞。另外,可以扮演入侵者进行入侵检测。最后,及时打补丁也是非常重要的。
(2)最小权限连接数据库
Web站点连接数据库都是通过相应的帐户进行连接,在这些帐户中SA是权限最大的也是最危险的。数据库不要用SA帐户,使用SA帐户连接数据库对服务器来说就是一场灾难。一般来说可以使用DB_OWNER权限帐户连接数据库,如果可以正常运行,使用public用户最安全的。设置成dbo权限连接数据库之后,入侵者基本就只能通过猜解用户名和密码或者是差异备份来获得webshell了,对于前者,我们可以通过加密和修改管理后台的默认登陆地址来防御。对于差异备份,我们知道它的条件是有备份的权限,并且要知道web的目录。这样被攻击的可能性大大地降低。
(3)删除危险的存储过程
MSSQL数据库系统集成了较多的存储过程,这些命令集方便了我们的操作当然也为攻击者入侵Web提供了便利。因此我们要根据需要删除某些在Web中用不到的,并且可被攻击者利用才存储过程。比如xp_regread和xp_dirtree这两个存储过程可被攻击者用来读取注册表信息和列目录,我们可以删除。另外,xp_cmdshell可被用来执行DOS命令比如建立系统帐户等等,是非常危险的。sp_makwebtask过程,可以读取SQL SELECT命令所得到的结果到表格形式的HTML文件中。这些比较危险可被攻击者利用的存储过程我们可以删除。比如删除xp_cmdshell可以执行“exec master..sp_dropextendedproc xp_cmdshell”,其它的类似。
(4)修改错误页,误导攻击者
SQL注入入侵是根据IIS给出的ASP错误提示信息来入侵的,如果我们把IIS设置成不管出什么样的ASP错误,只给出一种错误提示信息,即http 500错误,那么攻击者就无法获得敏感信息实施入侵了。打开IIS管理器选择相应的Web站点打开其站点属性窗口,在“自定义错误”选项卡下选择“500:100”点击“编辑”打开“编辑自定义错误属性”窗口,消息类型选择“文件”,然后通过浏览定位到自己构造的错误页,比如“c:\test.htm”,然后确定即可。
总结:防下载、防注入这是从Web安全的角度出发实施的非常规措施,在常态下我们一定要做好Web数据库的备份,这才是最基本的。
【编辑推荐】
求一般网站服务器安全防范措施
黑客的入侵大体也就是利用服务器的漏洞进行嗅探,所以除利用一些像云安服务器卫士这样的专业服务器安全软件外,最好还懂一些服务器的安全设置防范知识,手动设置提高安全级别。 像帐号守护,端口保护,帐号密码要设置复杂组合同时大于8位等。
网站一直被DDOS跟CC攻击怎么办
最好使用带有防护的主机,或者是主机安装防火墙可以有效的防护ddoscc的话 可以使用金盾类的防护。 需要更详细的可以看头像哟。
如何防范web页面里的木马?
前几天,微软定期发布修补程序,但却于第二天就出现了最新的IE7.0零时差漏洞攻击,此弱点也让我成为黑客下手的肉鸡之一。 电脑频繁重启,而且系统运行出奇的慢。 之后,我使用了三个杀毒软件,金山、瑞星等都没有解决我的问题。 最后,通过一个朋友介绍,下载了一个趋势科技的2009TIS试用版。 真没想到,杀出了十几种病毒。 虽然我不清楚每一个病毒是怎么回事,但通过这次的亲身经历,明白了趋势科技云安全技术是如何防范网页病毒木马的。 在趋势科技云安全技术中,每一位用户都成为“云”中的一份子。 当其中的一位用户受到病毒的侵害,趋势科技云中的34,000台服务器群就会瞬间进行收集和更新。 无论云端之下有多少用户,在Web世界里都将不会有第二人受到此病毒的侵害,真正做到与Web病毒的实时对抗。 此时的Web世界,每一个人都是识别安全威胁的贡献者,同样每个人也都是“云安全”的受益者。 趋势科技云安全技术通过对互联网上海量信息源进行分析整理,构建出庞大的云端服务器群,并将高风险信息源保存到云端数据库中。 通过云安全的自动反馈机制等技术,在终端用户与趋势科技云端服务器群之间实现不间断通信,通过检查网页信誉来确定各种新型威胁,实现实时探测和及时的“共同智能”保护,让每个互联网用户都成为了反病毒事业的贡献者。 当一位云安全用户访问一个网页时,访问请求就被发送到趋势科技的“云”数据库中,对该网页的风险级别进行查询,这个过程仅需几十毫秒,让终端用户丝毫察觉不到,只是在访问含到有威胁的网页时会收到提示。 如果用户访问的网页在云端数据库中没有记录,趋势科技的2000多部在线服务器就会把网页信息源收集起来,再进行分布式计算,得出网页的信誉等级。 这个计算时间最多只需15分钟。
发表评论