怎样有效防止SQL2000数据库批量注入_SQL SERVER数据库_龙虎鹰师网安服务器维护基地--Powered by WWW.RONGSEN.COM.CN

怎样有效防止SQL2000数据库批量注入

作者:龙虎鹰师网安SQL教程网 来源:龙虎鹰师网安SQL教程网 浏览次数:0

龙虎鹰师网安网讯: 在管理虚拟服务器期间发现部分数据库上的很多字段都被注入相同或者不同的几种木马代码,我们如何防止,下面设置数据库使之无法批量注入代码。
 在管理虚拟服务器期间发现部分数据库上的很多字段都被注入相同或者不同的几种木马代码我们如何防止下面设置数据库使之无法批量注入代码
1) 不要在网站上使用sa用户访问数据库

2) 创建具有public权限的数据库用户,并使用这个用户访问数据库

3) 在网站所使用的数据库的角色中去掉public角色对sysobjects与syscolumns对象的select访问权限,如下图所示

\
 

在public角色上右键->属性,打开“数据库角色属性”对话框,如下图所示
 
\
 

在“数据库角色属性”对话框中点击“权限”按纽,打开如下窗口
 
\
 

在打开的对话框中选择“public”角色

在下面的列表中找到sysobjects与syscolumns对象并在select列上打“×”,如下图所示

 
\
 
\
 

4) 同样在该数据库的“用户”上用户名称-> 右键-属性-权限-在sysobjects与syscolumns上面打“×”,如下图所示
 
\



\


\
 

5) 用我们创建的用户连接查询分析器中并执行以下代码检测(失败表示权限正确,如能显示出来则表明权限太高): 

DECLARE @T varchar(255), 

@C varchar(255) 

DECLARE Table_Cursor CURSOR FOR 

Select a.name,b.name from sysobjects a,syscolumns b 
where a.id=b.id and a.xtype= 'u ' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167) 

OPEN Table_Cursor 

FETCH NEXT FROM Table_Cursor INTO @T,@C 

WHILE(@@FETCH_STATUS=0) 

BEGIN print @c 

FETCH NEXT FROM Table_Cursor INTO @T,@C 

END 

CLOSE Table_Cursor 

DEALLOCATE Table_Cursor


如下图所示,表示我们设置正确
 
\



下图是没有设置之前的执行结果

 
\



到此我们已经禁止SQL Server数据库被批量挂马
    龙虎鹰师网安服务器维护方案本篇连接:http://www.rongsen.com.cn/show-19735-1.html
网站维护教程更新时间:2014-10-30 18:38:31  【打印此页】  【关闭
全站连接N点 | 龙虎鹰师网安 |  
专业服务器维护及网站维护手工安全搭建环境,网站安全加固服务。龙虎鹰师网安服务器维护基地招商进行中!请致电24小时热线: 13910257075 王先生
  开户名:王俊鹏 开户行:招商银行清华园支行:9555500101708872 建设银行清华园分行 6227000014970239251 

footer  footer  互联网安全  footer