数据库 评论与分析

  |  手机版

收藏网站

投稿QQ:1745232315

IT专家网,汇聚专业声音 解析IT潮流 IT专家网,汇聚专业声音 解析IT潮流

网络

专家视点在现场环球瞭望
IT专家网 > 数据库子站 > 数据库 评论与分析

微软发布工具帮助过滤SQL注入攻击

作者:cyw出处:IT专家网2008-08-25 09:20

  【IT专家网独家】上周微软为其互联网信息服务(IIS)Web服务器发布了一款经过改良的安全过滤工具,专门用来协助抗击SQL注入攻击。这款免费的应用软件名为UrlScan 3.0,是IIS的附加工具,可以对HTTP服务器请求进行实时监察,特别是能够屏蔽恶意代码在服务器端执行。

  SQL注入攻击在最近的八个月里成了席卷全球网络的灾难,对使用微软最受欢迎的ASP或ASP.NET代码以及能够实现动态网站的代码所编写的网站造成了极大的影响。

  六月份,微软曾发布过954462号安全通报,称SQL注入攻击问题并不是出自SQL Server本身,相反,网站自身在Web应用程序安全设置方面的一些不良习惯才是罪魁祸首。

  SQL注入攻击是通过在网页提交恶意代码的查询字符串直接攻击SQL Server。如果安全设置不到位,那么SQL Server就有可能执行这些代码,对网站后端造成破坏。

  大约五年前微软就已经发布了UrlScan工具,不过微软在3.0版中增加了一些新功能,其中最重要的改进也许就是支持查询字符串扫描功能。出于技术原因,UrlScan以前的版本不能审查服务器请求中的查询字符串。负责编写UrlScan的微软IIS产品团队的高级开发主管Wade Hilmo称,UrlScan 2.5版是根据URL字符串长度等因素来限制服务器请求的。在3.0版本中,除了原本的基于URL过滤的功能外,微软进一步添加了基于查询字符串进行过滤的功能,此外还添加了能够创建更多针对特定类型请求的规则的功能。例如,你可以编写一条只应用于ASP网页或PHP网页的规则,这是UrlScan 2.5无法做到的。

  对于开发人员来说,另外一项改进的功能就是能够自定义可通过UrlScan审查的安全URL列表和查询字符串。此外,3.0版本采用了W3C日志格式,便于分析。UrlScan 3.0和2.5版本中使用的配置文件管理器兼容,所以旧版的设置可以保留至升级版。微软还增加了对64位IIS的支持。

  如果您使用的是微软最新的Web服务器IIS 7.0,那么在一个名为Request Filter的IIS组件中已经内置了UrlScan 2.5的功能。微软计划在将来升级IIS 7时将UrlScan 3.0的新功能添加到IIS 7.0里。

  不过,要提醒大家的是UrlScan 3.0绝不是Web防御SQL攻击的万能药。Hilmo也称之为用来保护Web服务器的“权宜之计”。我们最终还是要在Web应用程序本身加强安全措施。在服务器上运行的应用程序才是唯一知道SQL查询意欲何为的一段代码。所以,对应用程序的开发人员来说治标更要治本,加强验证确保传送到SQL Server的数据的安全性。

 

      IT专家网原创文章,未经许可,严禁转载!

相关文章

关键词:IT技术 SQLServer SQL注入攻击 数据库 微软 评论

责任编辑:王晓晨

专题推荐

原创文章

微博互动

白皮书

网警备案