站点安全加固:拦截Sql注入

栏目:云星空知识作者:金蝶来源:金蝶云社区发布:2024-09-23浏览:1

站点安全加固:拦截Sql注入

【漏洞背景说明】

SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。


为了有效预防SQL注入,星空提供SQL注入拦截配置规则,可参考下面的配置进行配置和修复。




【场景介绍】

  • 为了防范此类安全漏洞问题,和帮助客户现场快速配置和通过第三方安全扫描工具认证。金蝶云星空在V7.X版本后,根据用户反馈的安全漏洞问题,陆续增加站点安全配置参数,不断加强星空产品访问安全。

  • 安全参数生效产品版本:7.6.0.202105 / PT-146876及以上版本(构建号:7.6.2171.1)





【解决方案】

请升级金蝶云星空环境到安全参数生效产品版本,并对安全参数进行配置,重启IIS后生效。


1,配置SQL注入拦截规则


配置节点:website/app_data/Common.config里面的<appSettings>节点


添加以下配置:

<!--Sql关键字-->
<add key="SqlKeys" value="select|insert|delete|from|drop|update|count|chr|char|mid|truncate|exec|net user|or|and|xp_cmdshell"/>
<!--脚本关键字-->
<add key="ScriptKeys" value="& amp;|& quot;|& gt;|& lt;"/>(这里要做html转码,论坛原因需要去掉&后的空格使用)


如下图所示:


2,参数设置中,开启【启用脚本关键字合法性验证】和【启用Sql关键字合法性验证】

使用Administrator登录系统,在【参数设置】功能下,选择【基础管理-BOS平台】分组,勾选【启用脚本关键字合法性验证】和【启用Sql关键字合法性验证】选项;





【延伸阅读】




站点安全加固:拦截Sql注入

【漏洞背景说明】SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的...
点击下载文档
确认删除?
回到顶部
客服QQ
  • 客服QQ点击这里给我发消息