很久以前,在我离开 Windows 环境之前,有这样一种工具,叫做“IIS 锁定工具”——这是微软免费提供的。它的目的是很好地锁定你的 IIS 实例,并做一些常见的安全测试,并告诉你你的 IIS/MS SQL 有哪些潜在的安全漏洞,那它后来怎么样了?
这是我现在的情况,
我可以访问一台 Windows 2003 SP2 服务器(MS SQL Server Web Edition 10.0),它曾被黑客入侵过一次。它托管一个 asp 网站,我们认为它已通过 SQL 注入受到攻击。十年前编写此服务器的开发人员表示,该服务器有不同的用户进行读写操作,并且配置不正确,因此遭到黑客入侵。
修复代码几乎是不可能的,所以现在我正在寻找可以使 IIS 和 SQL 尽可能安全的方法。
我可以在 IIS 上安装某种工具/模块来扫描 SQL 注入吗?
有什么类似 IIS 锁定的事情吗?
答案1
如果网站受到 SQL 注入攻击,唯一能修复的方法就是修复代码。
答案2
据微软称,IIS Lockdown 仍然可用:
- http://www.microsoft.com/download/en/details.aspx?id=25064(最老的)
- http://support.microsoft.com/kb/325864(IIS 6)
- http://technet.microsoft.com/en-us/library/dd450372(WS.10).aspx(适用于 Vista、Windows 7、Windows 2008)
答案3
这是我的小朋友 UrlScan,正是我在寻找的东西
答案4
有一些工具声称是“应用层防火墙”或类似的东西,可以扫描 SQL 注入,但我不熟悉任何一款产品,可以说“去买这个”。如果你正在使用托管服务提供商,他们可能会提供类似的东西。
IIS 锁定将减少您的攻击面,但它不会减轻您现有的问题。