很久以前,在我离开Windows环境之前,就有了“IISlocking工具”这样的东西 – 微软免费提供的。 这意味着要locking你的IIS实例,并做一些常见的安全testing,并告诉你你的IIS / MS SQL的潜在安全弱点是什么,发生了什么?
这是我现在的情况,
我有权访问Windows 2003 SP2服务器(MS SQL Server Web Edition 10.0),该服务器已被黑客入侵一次。 它托pipe一个asp网站,我们认为它已经通过SQL注入被入侵。 十年前写这个的开发者说有不同的用户可以读写,而且没有正确configuration,所以被黑客入侵了。
修复代码几乎是不可能的,所以现在我正在寻找一些能使IIS和SQL尽可能安全的东西。
有什么工具/模块我可以安装在IIS上扫描SQL注入?
像IISlocking的任何东西?
如果网站是通过SQL注入攻击的,唯一可以解决的就是修复代码。
据微软称,IIS Lockdown仍然可用:
这是我的小朋友UrlScan,我到底在找什么
有些工具声称是“应用程序层防火墙”或类似的东西,将扫描SQL注入,但我不熟悉任何一个产品说“去买这个”。 如果您使用的是托pipe服务提供商,他们可能会提供类似的服务。
IISlocking将减less您的攻击面,但不会减轻您现有的问题。