站点安全加固:拦截Sql注入
【漏洞背景说明】
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
为了有效预防SQL注入,星空提供SQL注入拦截配置规则,可参考下面的配置进行配置和修复。
【场景介绍】
为了防范此类安全漏洞问题,和帮助客户现场快速配置和通过第三方安全扫描工具认证。金蝶云星空在V7.X版本后,根据用户反馈的安全漏洞问题,陆续增加站点安全配置参数,不断加强星空产品访问安全。
安全参数生效产品版本:7.6.0.202105 / PT-146876及以上版本(构建号:7.6.2171.1)
【解决方案】
请升级金蝶云星空环境到安全参数生效产品版本,并对安全参数进行配置,重启IIS后生效。
1,配置SQL注入拦截规则
配置节点:website/app_data/Common.config里面的<appSettings>节点
添加以下配置:
<!--Sql关键字--> <add key="SqlKeys" value="select|insert|delete|from|drop|update|count|chr|char|mid|truncate|exec|net user|or|and|xp_cmdshell"/> <!--脚本关键字--> <add key="ScriptKeys" value="& amp;|& quot;|& gt;|& lt;"/>(这里要做html转码,论坛原因需要去掉&后的空格使用)
如下图所示:
2,参数设置中,开启【启用脚本关键字合法性验证】和【启用Sql关键字合法性验证】
使用Administrator登录系统,在【参数设置】功能下,选择【基础管理-BOS平台】分组,勾选【启用脚本关键字合法性验证】和【启用Sql关键字合法性验证】选项;
【延伸阅读】
站点安全加固:拦截Sql注入
【漏洞背景说明】SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的...
点击下载文档
本文2024-09-23 03:48:31发表“云星空知识”栏目。
本文链接:https://wenku.my7c.com/article/kingdee-k3cloud-161232.html
您需要登录后才可以发表评论, 登录登录 或者 注册
最新文档
热门文章