第一,从MSSQL数据库入手,你必须配置合理的数据库帐户,否则最容易导致菜鸟黑客的攻击。设置方法为,更改SA帐户默认的密码:
打开SQL查询设计器,输入以下查询命令:EXEC sp_password NULL, '951847', 'sa'
其中951847为更改后的SA密码,确认并执行即可。
第二,MSSQL具有诸多的扩展存储过程,在配置数据库系统的过程中,务必注意的一点是配置这些‘非常危险的SHELL’,如果你的计算机仅仅使用普通的数据库功能,希望把以下危险的扩展存储过程从master库中删除:
xp_cmdshell、sp_password、sp_addextendedproc、addextendedproc
第三,也是最容易忽略的一点,在安装MSSQL数据库后,务必第一之间更新你的程序补丁,你可以访问微软的Updata官方站获取更新,因为有些版本存在致命的缓冲区溢出漏洞,例如MSSQL2000。
第四,因为是ASP加MSSQL,往往注入漏洞是程序员最容易忽略的地方,希望你在购买论坛或网站管理系统时,确认你的程序没有存在这种杀伤性极高的‘漏洞’,检查方法:
你可以在查询语句后面追加以下关键字符:"'"、 "and 1=1"、"and 2=2"。例如URL地址为:
http://www.xxx.com/xxx.asp?id=1012&name=1008,则测试URL分别为:
http://www.xxx.com/xxx.asp?id=1012&name=1008'
http://www.xxx.com/xxx.asp?id=1012&name=1008 and 1=1
http://www.xxx.com/xxx.asp?id=1012&name=1008 and 2=2
如果返回结果是一组包含SQL出错信息的字符串,则请甚用这个程序。
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA)