MSSQL弱口令登陆漏洞：一种新的入侵风险

MSSQL弱口令登陆漏洞是企业网站服务器上的一个严重安全漏洞，可致使数据泄漏和被攻击者暴力破解进入系统，取得敏感信息。攻击者可利用MS-SQL弱口令登陆漏洞，利用特殊字符串登陆MSSQL，然后获得服务器内所有数据库信息，和控制计算机和服务器上的其他资源。

为了避免MSSQL弱口令登陆漏洞，应当加固服务器的安全保护，特别是MSSQL的账号密码保护。公道创建、管理MSSQL服务器上的账号，尽可能避免使用默许账号密码，定期更换密码、设置密码力度等。另外，为了不密码盗取，可以斟酌采取SQLServer语句控制，禁用系统中没必要要的MSSQL账号；

代码片断：

–限制连接sql server用户–

IF EXISTS(SELECT * FROM sys.sql_logins WHERE name=’Paul’)

BEGIN

ALTER LOGIN Paul DISABLE

END

–限制用户登陆SQLServer数据库–

IF EXISTS(SELECT * FROM sys.database_principals WHERE name=’Paul’ and type_desc = ‘SQL_LOGIN’)

BEGIN

ALTER LOGIN Paul DISABLE; –禁用

END

–禁用MSSQL的xp_cmdshell这个高级命令–

EXEC sp_configure ‘show advanced options’, 1

RECONFIGURE

EXEC sp_configure ‘xp_cmdshell’, 0

RECONFIGURE

另外，使用专业的安全软件进行护航保护，实时保护客户端和服务器，及时进行安全级别的检查. 不管是服务器端也好，或者客户端也好，都可以建立通用的网络安全审计机制，及时查找重大安全事件，及时发现SQL服务器上的弱口令登陆风险。

MS-SQL弱口令登陆漏洞是攻击者盗取数据库信息的新入侵风险，因此，企业的网络安全管理人员应从多方面来加强网站的安全性，及时发现攻击，及时采取有力措施来避免安全风险。