CIW认证培训：Google Hacking和SQL注入基础

扩展存储的禁止-CIW-06（google hacking、SQL 注入） 扩展存储的禁止是指删除或禁止扩展存储过程，以避免黑客通过xp_cmdshell等扩展存储过程来攻击数据库。删除扩展存储过程可以使用sp_dropextendedproc命令，例如use master sp_dropextendedproc ‘xp_cmdshell‘。如果需要恢复扩展存储过程，可以使用sp_addextendedproc命令。 扩展存储过程是数据库管理系统中的一个功能强大且危险的组件，它可以允许黑客执行系统命令，例如xp_cmdshell，可以执行操作系统命令，例如删除、复制、移动文件等。黑客可以通过xp_cmdshell来控制数据库服务器，进行各种恶意操作。 删除或改名xplog70.dll（sql server 2000）或xpsql70.dll（sql server 7.0）文件也可以禁止扩展存储过程。 Google Hacking是指使用Google搜索引擎来搜索和收集网络信息，例如搜索指定站点的信息、搜索指定类型的文件、搜索缓存信息等。Google Hacking的语法包括： * intext：搜索网页中的正文内容，例如intext:动网。 * intitle：搜索网页标题中的信息，例如intitle:安全天使。 * cache：搜索Google缓存中的信息，例如cache:安全天使。 * define：搜索某个词语的定义，例如define:hacker。 * filetype：搜索指定类型的文件，例如filetype:doc。 * info：查找指定站点的一些基本信息，例如info:feelids.com。 * inurl：搜索指定字符是否存在于URL中，例如inurl:admin。 SQL 注入是指攻击者通过输入恶意的SQL语句来控制数据库服务器，例如输入特殊的SQL语句来执行系统命令或访问未经授权的数据。SQL 注入攻击可以导致数据库服务器崩溃、数据泄露、权限提升等严重后果。 防止SQL 注入攻击的方法包括： * 使用参数化查询，避免直接将用户输入的数据嵌入到SQL语句中。 * 使用白名单机制，限制用户可以执行的SQL语句。 * 对用户输入的数据进行验证和清洁，避免恶意的SQL语句。 * 使用防火墙和入侵检测系统来检测和防止SQL 注入攻击。 扩展存储的禁止和防止SQL 注入攻击是网络安全的重要组件，需要数据库管理员和网络安全人员共同合作，采取多层次的安全措施来保护数据库服务器和网络系统。