SQL Server服务器出现漏洞如何应对？

以下的文章主要描述的是SQL Server服务器中最新漏洞正确解决方案，漏洞扩展，xp_dirtree储存过程事前，发现漏洞是由于sql服务器造成的，于是就用阿d的sql注入工具对自己SQL Server服务器的网站进行注入。

偶然发现了使用mssql的网站浸染可以利用sql注入的形式得到整个服务漏洞扩展：xp_dirtree储存过程。

事前：最近发现一个漏洞是sql服务器造成的，前几天正好没有什么事情，就用阿d的sql注入工具对自己服务器的网站进行注入，偶然发现了使用mssql的网站浸染可以利用sql注入的形式得到整个服务器上所有目录（我的服务器作了安全设置的）依然可以看见。

然后在服务器上安装了一个抓包工具对sql server进行抓包发现，使用工具连接sql漏洞xp_dirtree读取目录，可获得整个SQL Server服务器目录，如列出c盘目录他会把你c盘下的所有目录列出来，这样是很不安全的，目前是只可以查处目录上穿东西，大家可以设想一下，假如我随意修改一个boot.ini覆盖了c盘的boot.ini是一个什么概念，呵呵首先可以导致服务其瘫痪，无法读取系统。

解决方案：删除xp_dirtree，命令是sp_dropextendedproc 'xp_dirtree' 删除了以上的那个组建您在使用阿d或者任何的sql注入工具都是白搭，在这里也给大家提供一些其他sql危险的储存过程，建议删除。[注意：所有删除sql储存过程的操作必须在mssql查询分析器里操作，下面哪些前面的是储存过程的名字后面是删除储存过程的命令]

先来列出危险的内置存储过程：

xp_cmdshell sp_dropextendedproc 'xp_cmdshell'   xp_regaddmultistring sp_dropextendedproc 'xp_regaddmultistring'   xp_regdeletekey sp_dropextendedproc 'xp_regdeletekey'   xp_regdeletevalue sp_dropextendedproc 'xp_regdeletevalue'   xp_regenumkeys sp_dropextendedproc 'xp_regenumkeys'   xp_regenumvalues sp_dropextendedproc 'xp_regenumvalues'   xp_regread sp_dropextendedproc 'xp_regread'   xp_regremovemultistring sp_dropextendedproc 'xp_regremovemultistring'   xp_regwrite sp_dropextendedproc 'xp_regwrite'  

ActiveX脚本：

sp_OACreate sp_dropextendedproc 'sp_OACreate'   sp_OADestroy sp_dropextendedproc 'sp_OADestroy'   sp_OAMethod sp_dropextendedproc 'sp_OAMethod'   sp_OAGetProperty sp_dropextendedproc 'sp_OAGetProperty'   sp_OAGetErrorInfo sp_dropextendedproc 'sp_OAGetErrorInfo'   sp_OAStop sp_dropextendedproc 'sp_OAStop'  

特别注意：删除某些存储过程可能会导致网站的某些功能不能用，因此，建议先在master数据库的扩展存储过程中把Public组的EXEC权限去掉，这样比较保险，假如没问题再删除，有问题则改需要改回去。 以上的相关内容就是对SQL Server服务器最新漏洞解决 *** 的介绍，望你能有所收获。