安全：黑客入侵手段与其防御攻略

刚才我们讲的两块主要是侧重于ASP+ACCESS方面的黑客入侵技术，下面讲的主要是侧重于ASP+SQL的安全攻防技术。

很多条件好点的站长都有自己的服务器了，而且随着用户访问量的不断增长，很多人都改用速度更快，容量更大的SQL数据库了。因此，这方面也引起了黑客的关注。

SQL的SA帐号就是系统管理员帐号，如果黑客利用到网站的注入漏洞就很容易获取系统的最高权限，一旦黑客获取了最高权限，完全可以用NBSI等注入工具来建立系统帐号，并且利用3389端口远程登录进去，这一块的技术就是SA注入攻击方式。前几年国内外网络游戏被黑客入侵大部分都是黑客利用SA注入漏洞的技术手段来入侵的。

我们刚才讲了SQL的SA权限的入侵技术，那么SQL总共有哪几种权限呢？是不是只有SA权限是会被黑客利用的？错了，除了最高的SA权限之外，DBOWNER和PUBLIC等权限都有被黑客利用的可能。

SQL权限的高低顺序依次是SA，DBOWNER，PUBLIC。

DBOWNER这一块的黑客入侵技术主要一种方式是差异化备份技术，这是黑客利用数据库的备份功能，把一些一句话木马通过数据库备份到一个指定的目录里面，然后通过C/S木马上传WEB木马，然后用WEB木马来提权，获取系统权限，最后这个PUBLIC也有可能会被黑客利用，黑客利用这种权限只能列举数据库，所以这种方式黑客会列举出后台帐号和密码，然后利用后台上传WEB木马。

在这里我要告诉大家的是，黑客的入侵手段有很多种搭配方式。我们来分析一下黑客的各类入侵手段的分类。注入漏洞和上传漏洞都是入侵技术。而把权限提升为最高权限在黑客的术语中被成为提权，然后黑客拿到最高权限之后，有一部分会进行挂马，有的会去窃取网站资料，最后一步就是清除日志，这是黑客的扫尾工作。这几种方式当中的每一种都有很多个不同的入侵方式，所以可以进行自由搭配，这样延伸出来的黑客技术就会有很多种。