从codered到nimda等,一大堆蠕虫把原来需要人工利用的漏洞都变成了程序自动利用了,大家还想去手工操作这些IIS漏洞么?让我们调整重心,去看看服务器常用的数据库吧.

　　一般网站都是基于数据库的,特别是ASP、PHP、JSP这样的用数据库来动态显示的网站.很多网站可能多注意的是操作系统的漏洞,但是对数据库和这些脚本的安全总是忽略,也没有太多注意.

　　从最比较普遍的脚本问题开始,这些都是老话题了,大家可以参考Hectic写的《关于数据库的简单入侵和无赖破坏,以天融信做例子》,该文章对从SQL脚本问题说得非常详细.对于脚本安全的解决,也可以通过过滤来实现,可以参考我以前写的.对于ASP来说,可以使用下面这个过滤函数:

　　Function Filter_SQL(strData)

　　Dim strFilter

　　Dim blnFlag

　　Dim i

　　strFilter="',;,//,--,@,_,exec,declare"

　　blnFlag=Flase

　　Dim arrayFilter

　　arrayFilter=Split(strFilter,",")

　　For i=0 To UBound(arrayFilter)

　　If Instr(strData,arrayFilter(i))>0 Then

　　blnFlag=True

　　Exit For

　　End If

　　Next

　　If blnFlag Then

　　Response.Redirect "wrong.asp"

　　Else

　　Filter_SQL=strData

　　End If

　　End Function