标签

标签 ‘sql注入’ 的存档

推荐2个免费的防SQL注入(Sql Injection)的工具 — UrlScan 和 IIS 6 SQL Injection Sanitation ISAPI Wildcard

2009年12月31日
没有评论

SQL注入,可谓是目前的一大祸害。为了防止SQL注入,程序开发人员需要花大力气在参数的过滤和检查上。这种做法是上层的防注入。

实际上,可以利用底层的防注入方式,来弥补上层的不足。这里,介绍2款免费的工具。sql injection 注入

  • 微软的 UrlScan

微软针对自己的IIS平台,推出的安全工具,效果相当不错。它会检查所有IIS处理的HTTP请求。

UrlScan 可以在有安全问题的HTTP请求到达应用程序之前就阻止这个请求。

UrlScan 3.1 是最新版本,支持Windows Vista 和Windows Server 2008系统之上的IIS 5.1, IIS 6.0 和 IIS 7.0。

链接地址:http://www.iis.net/expand/UrlScan  这里还有很多有用的其他IIS扩展。

  • IIS 6 SQL Injection Sanitation ISAPI Wildcard

这是一个IIS的SAPI dll,也是通过检查HTTP请求避免SQL注入,但是,从名字上,大家就可以看明白,这是针对 II6 的,只能用于 windows 2003 的 IIS6平台。

地址: http://www.codeplex.com/IIS6SQLInjection

[ more 阅读全文 ]

IIS, 小软推荐, 微软 , , ,

一个防御SQL注入攻击时需要注意的问题

2009年2月1日
没有评论

SQL注入算是一个极为普通的问题了,解决方案也多如牛毛,但是新的注入方式仍然层出不穷。

目前很多IIS防火墙其实质就是一个ISAPI Filter,针对SQL注入攻击的防御实质就是关键字过滤,这一点在我以前的随笔中提到的在开发的Web Server Guard中也是这样操作的。但目前大部分的IIS防火墙都存在一个漏洞:如果关键字包含未转义百分比符号 (%) ,那么将会绕过这些IIS防火墙的请求过滤和拦截,包含IIS 7.0的Request Filter。

[ more 阅读全文 ]

IIS ,