我們知道從codered到nimda等，一大堆蠕蟲把原來需要人工利用的漏洞都變成了程序自動利用了，大家還想去手工操作這些IIS漏洞么？讓我們調整重心，去看看服務器常用的數(shù)據(jù)庫吧。

一般網(wǎng)站都是基于數(shù)據(jù)庫的，特別是ASP、PHP、JSP這樣的用數(shù)據(jù)庫來動態(tài)顯示的網(wǎng)站。很多網(wǎng)站可能多注意的是操作系統(tǒng)的漏洞，但是對數(shù)據(jù)庫和IIS漏洞還有這些腳本的安全總是忽略，也沒有太多注意。

IIS漏洞我們先放下，從最比較普遍的腳本問題開始，這些都是老話題了，大家可以參考Hectic寫的《關于數(shù)據(jù)庫的簡單入侵和無賴破壞，以天融信做例子》，該文章對從SQL腳本問題說得非常詳細。

對于腳本安全的解決，也可以通過過濾來實現(xiàn)，可以參考我以前寫的。對于ASP來說，可以使用下面這個過濾函數(shù)：
 

Function Filter_SQL(strData)   
Dim strFilter   
Dim blnFlag   
Dim i   
strFilter="',;,//,--,@,_,exec,declare" '需要過濾的字符，可以自己添加，","是分隔符   
blnFlag=Flase '過濾標志，如果產(chǎn)生過濾，那么就是真   
Dim arrayFilter   
arrayFilter=Split(strFilter,",")   
For i=0 To UBound(arrayFilter)   
If Instr(strData,arrayFilter(i))>0 Then   
blnFlag=True   
Exit For   
End If   
Next   
If blnFlag Then   
Response.Redirect "wrong.asp"  

檢查IIS漏洞時，當發(fā)現(xiàn)有過濾操作時，導向一個預定頁面。反正正常訪問用不到的連接請求，總不是好事情。
 

Else   
Filter_SQL=strData   
End If   
End Function 

對于MS SQL Server數(shù)據(jù)庫來說，安全問題不僅僅局限在腳本上了。“天殺的微軟”的系統(tǒng)性很強，整個基于WINDOWS系統(tǒng)的應用都有很強的關聯(lián)性，對SQL Server來說，基本可以把數(shù)據(jù)庫管理和系統(tǒng)管理等同起來了。IIS漏洞的知識，我們就講解到這里了。

【編輯推薦】

1. IIS服務器身份驗證的方式與基本原理
2. 微軟ISA 服務器推動網(wǎng)絡安全建設
3. Windows 7下IIS7的安裝及ASP配置
4. 在Windows7上啟用IIS日志記錄
5. 攻擊悄然來臨 該如何保障IIS安全