要防止ASP.NET應(yīng)用被SQL注入式攻擊闖入并不是一件特別困難的事情�,只要在利用表單輸入的內(nèi)容構(gòu)造SQL命令之前,把所有輸入內(nèi)容過濾一番就可以了���。過濾輸入內(nèi)容可以按多種方式進(jìn)行����。
��、 對于動態(tài)構(gòu)造SQL查詢的場合��,可以使用下面的技術(shù):
第一:替換單引號����,即把所有單獨(dú)出現(xiàn)的單引號改成兩個單引號,防止攻擊者修改SQL命令的含義����。再來看前面的例子����,“SELECT * from Users WHERE login = ''' or ''1''=''1' AND password = ''' or ''1''=''1'”顯然會得到與“SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'”不同的結(jié)果���。
第二:刪除用戶輸入內(nèi)容中的所有連字符�����,防止攻擊者構(gòu)造出類如“SELECT * from Users WHERE login = 'mas' -- AND password =''”之類的查詢��,因?yàn)檫@類查詢的后半部分已經(jīng)被注釋掉���,不再有效,攻擊者只要知道一個合法的用戶登錄名稱����,根本不需要知道用戶的密碼就可以順利獲得訪問權(quán)限。
第三:對于用來執(zhí)行查詢的數(shù)據(jù)庫帳戶�����,限制其權(quán)限��。用不同的用戶帳戶執(zhí)行查詢、插入����、更新、刪除操作���。由于隔離了不同帳戶可執(zhí)行的操作,因而也就防止了原本用于執(zhí)行SELECT命令的地方卻被用于執(zhí)行INSERT����、UPDATE或DELETE命令。
��、 用存儲過程來執(zhí)行所有的查詢�����。SQL參數(shù)的傳遞方式將防止攻擊者利用單引號和連字符實(shí)施攻擊����。此外,它還使得數(shù)據(jù)庫權(quán)限可以限制到只允許特定的存儲過程執(zhí)行���,所有的用戶輸入必須遵從被調(diào)用的存儲過程的安全上下文�,這樣就很難再發(fā)生注入式攻擊了。
�、 限制表單或查詢字符串輸入的長度。如果用戶的登錄名字最多只有10個字符����,那么不要認(rèn)可表單中輸入的10個以上的字符,這將大大增加攻擊者在SQL命令中插入有害代碼的難度��。
�、 檢查用戶輸入的合法性,確信輸入的內(nèi)容只包含合法的數(shù)據(jù)�����。數(shù)據(jù)檢查應(yīng)當(dāng)在客戶端和服務(wù)器端都執(zhí)行——之所以要執(zhí)行服務(wù)器端驗(yàn)證�,是為了彌補(bǔ)客戶端驗(yàn)證機(jī)制脆弱的安全性。
在客戶端�,攻擊者完全有可能獲得網(wǎng)頁的源代碼,修改驗(yàn)證合法性的腳本(或者直接刪除腳本)�����,然后將非法內(nèi)容通過修改后的表單提交給服務(wù)器���。因此�,要保證驗(yàn)證操作確實(shí)已經(jīng)執(zhí)行,唯一的辦法就是在服務(wù)器端也執(zhí)行驗(yàn)證�。你可以使用許多內(nèi)建的驗(yàn)證對象,例如RegularExpressionValidator���,它們能夠自動生成驗(yàn)證用的客戶端腳本��,當(dāng)然你也可以插入服務(wù)器端的方法調(diào)用���。如果找不到現(xiàn)成的驗(yàn)證對象��,你可以通過CustomValidator自己創(chuàng)建一個���。
�����、 將用戶登錄名稱���、密碼等數(shù)據(jù)加密保存。加密用戶輸入的數(shù)據(jù)�,然后再將它與數(shù)據(jù)庫中保存的數(shù)據(jù)比較,這相當(dāng)于對用戶輸入的數(shù)據(jù)進(jìn)行了“消毒”處理�,用戶輸入的數(shù)據(jù)不再對數(shù)據(jù)庫有任何特殊的意義,從而也就防止了攻擊者注入SQL命令。System.Web.Security.FormsAuthentication類有一個HashPasswordForStoringInConfigFile��,非常適合于對輸入數(shù)據(jù)進(jìn)行消毒處理��。
�、 檢查提取數(shù)據(jù)的查詢所返回的記錄數(shù)量。如果程序只要求返回一個記錄���,但實(shí)際返回的記錄卻超過一行����,那就當(dāng)作出錯處理�����。
|
您現(xiàn)在的位置: 
