防御SQL注入攻击时需要注意的一个问题
2009-02-01 22:01
1421 查看
目前很多IIS防火墙其实质就是一个ISAPI Filter,针对SQL注入攻击的防御实质就是关键字过滤,这一点在我以前的随笔中提到的在开发的Web Server Guard中也是这样操作的。但目前大部分的IIS防火墙都存在一个漏洞:如果关键字包含未转义百分比符号 (%) ,那么将会绕过这些IIS防火墙的请求过滤和拦截,包含IIS 7.0的Request Filter。
因为这类防火墙都是查找位于URL/Form/Cookie中的关键字,比如Exec。但是如果你传入E%xec,那么将不会被过滤,这个问题在目前已知的大部分IIS防火墙(具体的就不介绍了,以免存在广告之嫌,Google搜索即可知道)中都存在,很容易被轻易穿透。包含微软为ASP提供的一组安全过滤函数里面同样存在这个问题。
URLScan同样存在这个问题,但是URLScan 3.0beta我还没有测试过。所以大家在开发ISAPI Request Filter中要注意这一点。
http://www.ietf.org/rfc/rfc2396.txt
IIS 7.0修补程序:
相关文章推荐
- 一个防御SQL注入攻击时需要注意的问题
- 中时间数据查询需要注意的一个小问题
- 使用标准C库读文件时需要注意的一个问题
- Android使用service的bind方式使用服务的使用需要注意的一个问题
- SWT绘图需要注意的一个问题
- android百度地图api 实现离线地图需要注意的一个问题
- 第二十三篇、使用NSURLSession时需要注意一个内存泄漏问题
- ORA-02041: 客户数据库未开始一个事务处理 .NET 连接低版本ORACLE时需要注意的问题
- 使用jQuery Ajax功能的时候需要注意的一个问题
- rtmp和rtp协议转换中需要注意的一个问题。
- 对java中的String采用+=连接字符串需要注意的一个问题
- 使用jQuery Ajax功能时需要注意的一个问题(内存溢出)
- 使用jQuery Ajax功能的时候需要注意的一个问题
- python序列化持久化需要注意的一个问题
- socket运用中需要注意的一个问题
- JavaScript Tip/Trick: 动态创建Table时,在IE中需要注意的一个问题
- insert append需要注意的一个小问题
- 模板类使用friend时需要注意的一个问题
- jquery parent()方法在table标签中使用需要注意的一个问题
- php中使用$_REQUEST需要注意的一个问题