SQL Server服务器出现漏洞如何应对?

以下的文章主要描述的是SQL Server服务器中***漏洞正确解决方案,漏洞扩展,xp_dirtree储存过程事前,发现漏洞是由于sql服务器造成的,于是就用阿d的sql注入工具对自己SQL Server服务器的网站进行注入。

10年积累的网站设计制作、成都网站制作经验,可以快速应对客户对网站的新想法和需求。提供各种问题对应的解决方案。让选择我们的客户得到更好、更有力的网络服务。我虽然不认识你,你也不认识我。但先网站制作后付款的网站建设流程,更有临淄免费网站建设让你可以放心的选择与我们合作。

偶然发现了使用mssql的网站浸染可以利用sql注入的形式得到整个服务漏洞扩展:xp_dirtree储存过程。

事前:最近发现一个漏洞是sql服务器造成的,前几天正好没有什么事情,就用阿d的sql注入工具对自己服务器的网站进行注入,偶然发现了使用mssql的网站浸染可以利用sql注入的形式得到整个服务器上所有目录(我的服务器作了安全设置的)依然可以看见。

然后在服务器上安装了一个抓包工具对sql server进行抓包发现,使用工具连接sql漏洞xp_dirtree读取目录,可获得整个SQL Server服务器目录,如列出c盘目录他会把你c盘下的所有目录列出来,这样是很不安全的,目前是只可以查处目录上穿东西,大家可以设想一下,如果我随意修改一个boot.ini覆盖了c盘的boot.ini是一个什么概念,呵呵首先可以导致服务其瘫痪,无法读取系统。

解决方案:删除xp_dirtree,命令是sp_dropextendedproc 'xp_dirtree' 删除了以上的那个组建您在使用阿d或者任何的sql注入工具都是白搭,在这里也给大家提供一些其他sql危险的储存过程,建议删除。[注意:所有删除sql储存过程的操作必须在mssql查询分析器里操作,下面哪些前面的是储存过程的名字后面是删除储存过程的命令]

先来列出危险的内置存储过程:

 
 
 
  1. xp_cmdshell sp_dropextendedproc 'xp_cmdshell'   
  2. xp_regaddmultistring sp_dropextendedproc 'xp_regaddmultistring'   
  3. xp_regdeletekey sp_dropextendedproc 'xp_regdeletekey'   
  4. xp_regdeletevalue sp_dropextendedproc 'xp_regdeletevalue'   
  5. xp_regenumkeys sp_dropextendedproc 'xp_regenumkeys'   
  6. xp_regenumvalues sp_dropextendedproc 'xp_regenumvalues'   
  7. xp_regread sp_dropextendedproc 'xp_regread'   
  8. xp_regremovemultistring sp_dropextendedproc 'xp_regremovemultistring'   
  9. xp_regwrite sp_dropextendedproc 'xp_regwrite'  

ActiveX脚本:

 
 
 
  1. sp_OACreate sp_dropextendedproc 'sp_OACreate'   
  2. sp_OADestroy sp_dropextendedproc 'sp_OADestroy'   
  3. sp_OAMethod sp_dropextendedproc 'sp_OAMethod'   
  4. sp_OAGetProperty sp_dropextendedproc 'sp_OAGetProperty'   
  5. sp_OAGetErrorInfo sp_dropextendedproc 'sp_OAGetErrorInfo'   
  6. sp_OAStop sp_dropextendedproc 'sp_OAStop'  

特别注意:删除某些存储过程可能会导致网站的某些功能不能用,因此,建议先在master数据库的扩展存储过程中把Public组的EXEC权限去掉,这样比较保险,如果没问题再删除,有问题则改需要改回去。 以上的相关内容就是对SQL Server服务器***漏洞解决方法的介绍,望你能有所收获。

【编辑推荐】

  1. SQL Server 2005中synonyms的正确用法
  2. SQL Server快照功能以及其查询操作
  3. SQL Server获取表的容量很简单!
  4. SQL Server排序遇到NULL,不怕不帕!
  5. SQL Server 2005两种快照隔离机制的不同之处

文章名称:SQL Server服务器出现漏洞如何应对?
本文网址:http://www.shufengxianlan.com/qtweb/news5/520055.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联