實(shí)例講解Web數(shù)據(jù)庫(kù)安全防護(hù)
數(shù)據(jù)庫(kù)是Web的命脈,由于管理者的安全疏漏使得其成為攻擊者入侵Web的入口。如何來(lái)加固Web數(shù)據(jù)庫(kù)呢?筆者就以當(dāng)前使用比較廣泛的Access和MSSQL數(shù)據(jù)庫(kù)為例,說(shuō)說(shuō)Web數(shù)據(jù)庫(kù)的安全防護(hù)。
1、Access數(shù)據(jù)庫(kù)防下載
數(shù)據(jù)庫(kù)被下載這對(duì)Web來(lái)說(shuō)幾乎是毀滅性的,因?yàn)楣粽邚闹锌梢垣@取包括管理員帳戶及密碼等在內(nèi)的敏感信息,然后實(shí)施進(jìn)一步的攻擊。可被下載的數(shù)據(jù)庫(kù)主要是Access數(shù)據(jù)庫(kù),采用這種數(shù)據(jù)庫(kù)的Web站點(diǎn)不在少數(shù)。防止Access數(shù)據(jù)庫(kù)下載,可以從以下幾個(gè)方面入手。
(1)數(shù)據(jù)庫(kù)改名
數(shù)據(jù)庫(kù)改名包括兩部分,首先將其改成比較生僻的名稱,建議名字足夠長(zhǎng)并使用某些特殊字符以防被攻擊者猜中。另外,將mdb后綴改為asp,以防數(shù)據(jù)庫(kù)被下載。當(dāng)然數(shù)據(jù)庫(kù)改名后,數(shù)據(jù)庫(kù)連接配置文件也要進(jìn)行修改。
(2)改變數(shù)據(jù)庫(kù)路徑
站點(diǎn)系統(tǒng)都有默認(rèn)的數(shù)據(jù)庫(kù)路徑,由于安全意識(shí)淡薄,部署Web站點(diǎn)時(shí)有很多人不去修改數(shù)據(jù)庫(kù)路徑,因而攻擊者很容易地猜到該站點(diǎn)的數(shù)據(jù)庫(kù)路徑。
更改數(shù)據(jù)庫(kù)路徑,大家可以在站點(diǎn)目錄下創(chuàng)建比較生僻的目錄,然后將數(shù)據(jù)庫(kù)文件拷貝到該目錄中。當(dāng)然,更改數(shù)據(jù)庫(kù)路徑后,需要修改站點(diǎn)系統(tǒng)的數(shù)據(jù)庫(kù)連接文件。一般asp站點(diǎn)系統(tǒng)的數(shù)據(jù)庫(kù)連接文件是conn.asp。打開該文件后,然后根據(jù)實(shí)際情況進(jìn)行修改,使得其跟當(dāng)前的數(shù)據(jù)庫(kù)路徑相一致。
(3)設(shè)置好目錄權(quán)限
要設(shè)置好數(shù)據(jù)庫(kù)目錄的訪問(wèn)權(quán)限,原則是權(quán)限最小化以防止非正常的訪問(wèn)。因?yàn)閃eb程序是通過(guò)IIS用戶運(yùn)行的,我們只要給IIS用戶讀取和寫入權(quán)限,然后通過(guò)“IIS管理器”把這個(gè)目錄的腳本執(zhí)行權(quán)限去掉,防止入侵者在該目錄中通過(guò)上傳獲得webshell了。
(4)添加mdb的擴(kuò)展映射
IIS對(duì)于不能解析的文件類型就會(huì)彈出下載對(duì)話框讓用戶下載,我們可以通過(guò)在IIS管理器中添加對(duì)mdb的擴(kuò)展映射,防止數(shù)據(jù)庫(kù)被下載。其設(shè)置方法是:打開IIS管理器定位到相應(yīng)的Web站點(diǎn),右鍵選擇“屬性”,然后依次點(diǎn)擊“主目錄→配置→映射”,在“應(yīng)用程序擴(kuò)展”里面添加.mdb文件應(yīng)用解析,至于用于解析它的可執(zhí)行文件大家可以自己進(jìn)行選擇,只要讓攻擊者無(wú)法訪問(wèn)數(shù)據(jù)庫(kù)文件就可以了。
(5)數(shù)據(jù)庫(kù)改造
思路是將數(shù)據(jù)庫(kù)后綴名(.mdb)修改為.asp,然后在數(shù)據(jù)庫(kù)中加上一個(gè)NotDownLoad的表以防數(shù)據(jù)庫(kù)被下載。具體操作方法如下:
首先新建一個(gè).asp文件(notdown.asp),其代碼如下:
然后在服務(wù)器端運(yùn)行notdown.asp,這樣在數(shù)據(jù)庫(kù)添加了包含notdown字段的notdownload數(shù)據(jù)表,即可防止數(shù)據(jù)庫(kù)的下載,因?yàn)閚otdown有一個(gè)值是"< %",asp運(yùn)行是因缺少"% >"關(guān)閉標(biāo)記而拒絕訪問(wèn),下載當(dāng)然會(huì)失敗。
#p#
2、MSSQL數(shù)據(jù)庫(kù)防注入
MSSQL數(shù)據(jù)庫(kù)是大中型Web站點(diǎn)常采用的數(shù)據(jù)庫(kù),對(duì)于SQL數(shù)據(jù)最大的威脅是注入。攻擊者通過(guò)注入來(lái)調(diào)用SQL語(yǔ)句執(zhí)行系統(tǒng)命令,因此其危險(xiǎn)性更大。一個(gè)注入點(diǎn),有可能造成整個(gè)Web服務(wù)器的淪陷。防MSSQL注入可以從下面幾個(gè)方面入手。
(1)慎重選擇建站系統(tǒng)
通過(guò)站點(diǎn)系統(tǒng)建立一個(gè)Web站點(diǎn)是非常容易的,但是某些站點(diǎn)系統(tǒng)代碼編寫不夠嚴(yán)謹(jǐn),考慮不周,變量過(guò)濾不嚴(yán)等使得可被攻擊者利用。因此,選擇一款安全的站點(diǎn)系統(tǒng)是至關(guān)重要的。當(dāng)然,沒有百分之百安全的站點(diǎn)系統(tǒng)。管理員如果懂代碼的話可以進(jìn)行檢測(cè)分析,看看是否有漏洞。另外,可以扮演入侵者進(jìn)行入侵檢測(cè)。最后,及時(shí)打補(bǔ)丁也是非常重要的。
(2)最小權(quán)限連接數(shù)據(jù)庫(kù)
Web站點(diǎn)連接數(shù)據(jù)庫(kù)都是通過(guò)相應(yīng)的帳戶進(jìn)行連接,在這些帳戶中SA是權(quán)限最大的也是最危險(xiǎn)的。數(shù)據(jù)庫(kù)不要用SA帳戶,使用SA帳戶連接數(shù)據(jù)庫(kù)對(duì)服務(wù)器來(lái)說(shuō)就是一場(chǎng)災(zāi)難。一般來(lái)說(shuō)可以使用DB_OWNER權(quán)限帳戶連接數(shù)據(jù)庫(kù),如果可以正常運(yùn)行,使用public用戶最安全的。設(shè)置成dbo權(quán)限連接數(shù)據(jù)庫(kù)之后,入侵者基本就只能通過(guò)猜解用戶名和密碼或者是差異備份來(lái)獲得webshell了,對(duì)于前者,我們可以通過(guò)加密和修改管理后臺(tái)的默認(rèn)登陸地址來(lái)防御。對(duì)于差異備份,我們知道它的條件是有備份的權(quán)限,并且要知道web的目錄。這樣被攻擊的可能性大大地降低。
(3)刪除危險(xiǎn)的存儲(chǔ)過(guò)程
MSSQL數(shù)據(jù)庫(kù)系統(tǒng)集成了較多的存儲(chǔ)過(guò)程,這些命令集方便了我們的操作當(dāng)然也為攻擊者入侵Web提供了便利。因此我們要根據(jù)需要?jiǎng)h除某些在Web中用不到的,并且可被攻擊者利用才存儲(chǔ)過(guò)程。比如xp_regread和xp_dirtree這兩個(gè)存儲(chǔ)過(guò)程可被攻擊者用來(lái)讀取注冊(cè)表信息和列目錄,我們可以刪除。另外,xp_cmdshell可被用來(lái)執(zhí)行DOS命令比如建立系統(tǒng)帳戶等等,是非常危險(xiǎn)的。sp_makwebtask過(guò)程,可以讀取SQL SELECT命令所得到的結(jié)果到表格形式的HTML文件中。這些比較危險(xiǎn)可被攻擊者利用的存儲(chǔ)過(guò)程我們可以刪除。比如刪除xp_cmdshell可以執(zhí)行“exec master..sp_dropextendedproc xp_cmdshell”,其它的類似。
(4)修改錯(cuò)誤頁(yè),誤導(dǎo)攻擊者
SQL注入入侵是根據(jù)IIS給出的ASP錯(cuò)誤提示信息來(lái)入侵的,如果我們把IIS設(shè)置成不管出什么樣的ASP錯(cuò)誤,只給出一種錯(cuò)誤提示信息,即http 500錯(cuò)誤,那么攻擊者就無(wú)法獲得敏感信息實(shí)施入侵了。打開IIS管理器選擇相應(yīng)的Web站點(diǎn)打開其站點(diǎn)屬性窗口,在“自定義錯(cuò)誤”選項(xiàng)卡下選擇“500:100”點(diǎn)擊“編輯”打開“編輯自定義錯(cuò)誤屬性”窗口,消息類型選擇“文件”,然后通過(guò)瀏覽定位到自己構(gòu)造的錯(cuò)誤頁(yè),比如“c:\test.htm”,然后確定即可。
總結(jié):防下載、防注入這是從Web安全的角度出發(fā)實(shí)施的非常規(guī)措施,在常態(tài)下我們一定要做好Web數(shù)據(jù)庫(kù)的備份,這才是最基本的。
【編輯推薦】
