SQL Injection 相關資訊

jchiou — Mon, 26 May 2008 11:01:39 GMT

SQL Injection(資料隱碼)攻擊行為簡介

以下是此類攻擊的流程

1. 駭客運用搜尋引擎尋找網頁上的漏洞，並運用自動化工具攻擊網路服務器。

2. 一個<script>字串附加到在後端運行的SQL伺服器中所有的文本或可變長字串列中。

3. 這個腳本與駭客所控制伺服器連接。該伺服器含有一些常用軟體的利用代碼，如Microsoft MS06-014，協力廠商軟體漏洞，（例如常用的媒體播放器及內容下載軟體）。有的時候還有一些零時差漏洞。

4. 當終端使用者試圖用IE流覽正常的網站時，由於這些網頁都將從SQL伺服器獲取資料，這些資料同時包含了惡意腳本<script>。而這些腳本會自動連接到駭客的網站。

5. 如果普通使用者沒有依照建議安裝修正程式，防毒軟體，或尚未安裝Microsoft或協力廠商軟體最新版本的更新，那麼他們的電腦就會被感染。

SQL Injection(資料隱碼)攻擊行為的解決方案

一旦web伺服器遭到SQL注入攻擊，請遵循如下步驟：

1、關閉網站

2、檢查IIS日誌，查找引起這次攻擊的有漏洞的目標網頁

3、聯繫web開發者，修改並加強ASP頁面。

注意這只是一種變通的解決方法，只能臨時解決SQL Injection問題。該網站可能在伺服器再次聯網後被再次注入。為了徹底解決這個問題，請參閱“預防SQL Injection(資料隱碼)攻擊的解決方案”。

預防SQL注入攻擊的解決方案

這種SQL Injection攻擊是由網頁程式開發不符合安全編碼的要求所引起的。為了防止攻擊，我們需要驗證所有網頁的字串輸入的函數。比如說，帶有用戶名和密碼輸入框的網站登錄頁。

我們也可以在微軟的官方網站上找到安全指導和最佳實踐建議，來應對SQL Injection(資料隱碼)攻擊。

用來減緩與解決SQL Injection攻擊的最佳實踐建議可以在這裡找到：

http://msdn2.microsoft.com/en-us/magazine/cc163917.aspx

SQL 資料隱碼

http://msdn.microsoft.com/zh-tw/library/ms161953.aspx

『資料隱碼』SQL Injection的源由與防範之道

http://www.microsoft.com/taiwan/sql/SQL_Injection.htm

SQL Injection (資料隱碼)– 駭客的 SQL填空遊戲(上)

http://www.microsoft.com/taiwan/sql/SQL_Injection_G1.htm

SQL Injection (資料隱碼)– 駭客的 SQL填空遊戲(下)

http://www.microsoft.com/taiwan/sql/SQL_Injection_G2.htm

How To - Protect from Injection Attacks in ASP.NET

http://msdn.microsoft.com/en-us/library/bb355989.aspx

How To - Protect from SQL Injection in ASP.NET

http://msdn.microsoft.com/en-us/library/ms998271.aspx

How To - Protect from Cross-Site Scripting in ASP.NET

http://msdn.microsoft.com/en-us/library/ms998274.aspx

Design Guidelines

http://msdn.microsoft.com/en-us/library/aa302420.aspx

Arch/Design Inspection

http://msdn.microsoft.com/en-us/library/aa302421.aspx

對於用戶端使用者，請確保電腦系統中已安裝了微軟及協力廠商軟體的最新安全修正程式以及最新的防毒程式定義檔。

注意，SQL Injection 不只會在 MS SQL Server 上會發生，在其它廠牌的資料庫產品也可能會有相同的情況發生。

請協助我們改善您在 MSDN 上尋找資訊的體驗

jchiou — Fri, 25 Apr 2008 05:31:39 GMT

您是否覺得很難在 MSDN 快速找到需要的資訊?

MSDN 團隊正致力於改善您在尋找所需資訊時的體驗。請花個兩分鐘來告訴我們您想要的內容格式和搜尋方式。詳細內容...

雖然 MSDN 已經比以前好很多了，但我們都希望它可以更好，筆者自己也有做完問卷，大家有空時可以填一下，感恩。

Deploy software updates for Office Project Server 2007

jchiou — Wed, 19 Dec 2007 04:25:29 GMT

This article is designed to provide guidance that IT professionals can use to deploy the Service Pack 1 (SP 1) update to a Microsoft Office Project Server 2007 deployment. It covers what to do before you begin installation, the installation steps, and how to verify the installation.

轉載自：http://technet2.microsoft.com/Office/en-us/library/c3b86049-7cba-4b9c-8335-e37fb6e7518a1033.mspx?mfr=true

慢步在雲端... 邱英瑞(Jacky) : Project Server 2007

SQL Injection 相關資訊

請協助我們改善您在 MSDN 上尋找資訊的體驗

Deploy software updates for Office Project Server 2007