2007-02-01 12:03:13逸&瑩
關於SQL Injection(資料隱碼)的防範方法及檢測工具 lilith.
看到報紙又有人SQL Injection(資料隱碼)方法入侵他人網站而被移送法辦,而所謂的SQL Injection只是一種文字遊戲,它利用網頁程式設計師撰寫程式碼的疏忽,而讓網站的使用者能夠使用SQL指令去控制他人網站.
在此提供幾個關於SQL Injection的防範的方法.
1. 在PHP方面,修改 php.ini 這個設定檔,用 vi 來開啟這個文字檔案.
將
magic_quotes_gpc=off
設定為
magic_quotes_gpc=on
將
display_errors=on
設定為
display_errors=off
2. 不要在網站上公布內容含有 phpinfo( ) 的網頁.讓想入侵的使用者從中去得到一些有用的訊息.
在此提供幾個關於SQL Injection的防範的方法.
1. 在PHP方面,修改 php.ini 這個設定檔,用 vi 來開啟這個文字檔案.
將
magic_quotes_gpc=off
設定為
magic_quotes_gpc=on
將
display_errors=on
設定為
display_errors=off
2. 不要在網站上公布內容含有 phpinfo( ) 的網頁.讓想入侵的使用者從中去得到一些有用的訊息.
3. 因為這種入侵是屬於網頁程式設計師撰寫程式碼的疏忽,所以在治本之道還是要勤於對網頁程式的升級.對於本身網站所使用的php程式任何的升級或更新修補檔的訊息更是要充分的掌握.
4. 下載 SQL Injection 檢測工具 Lilith 下載網址是 http://angelo.scanit.biz/,它是一個利用perl寫成的SQL Injection掃描工具。目前己經開發到0.6a版,有興趣的人可以去下載來使用看看(免費).
4. 下載 SQL Injection 檢測工具 Lilith 下載網址是 http://angelo.scanit.biz/,它是一個利用perl寫成的SQL Injection掃描工具。目前己經開發到0.6a版,有興趣的人可以去下載來使用看看(免費).
SQL Injection 檢測工具 Lilith 使用方法如下:
STEP 1: 下載 lilith-0.6a.tar.gz 檔,並解在開成 lilith.pl 檔.
STEP 2: 利用以下指令在LINUX文字模式下執行 lilith.pl 檔.它就會自動去偵測你所指定的網站,並報告是否有SQL Injection 的漏洞.
perl lilith.pl www.yourserver.com
但是這個偵測工具到底有沒有用,我就不知道了.
STEP 1: 下載 lilith-0.6a.tar.gz 檔,並解在開成 lilith.pl 檔.
STEP 2: 利用以下指令在LINUX文字模式下執行 lilith.pl 檔.它就會自動去偵測你所指定的網站,並報告是否有SQL Injection 的漏洞.
perl lilith.pl www.yourserver.com
但是這個偵測工具到底有沒有用,我就不知道了.