今天写一篇关于站点安全的文章。 $l!+SLK
很多人做网站,直接下源代码,比如动易,动网等等,除了论坛代码本身爆出的漏洞之外,站长本身不对论坛的一些敏感信息进行修改。别人只需要简单的分析一下整站系统的版本,就能知道整站源代码,然后就能知道默认管理员账号和登录连接,还有就是能知道数据库路径等等! {Tym#
所以我们下好整站系统之后就要相应的修改数据库路径以及管理账号和密码,同时要打好补丁! p?+*R@O
关于自己亲手写的代码,要做好防注入,以下列出两个通用防注入代码: U,)@+?U+h
<% ~i)IY1m"
'''''''''''''''''''''''''''''''''''''''''''''''' 4Js9"<w
'ASP通用防注入代码 (>gAnebN
L
'您可以把该代码COPY到头文件中.也可以单独作 ,c_NXC^X?
'为一个文件存在,每次调用使用 y:N>t+'5
'''''''''''''''''''''''''''''''''''''''''''''''' +:fr(s!OE
Dim GetFlag Rem(提交方式) ^qD@qJ
Dim ErrorSql Rem(非法字符) STH?X]
/
Dim RequestKey Rem(提交数据) Ib665H7w
Dim ForI Rem(循环标记) H3Z"u
ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid~master~truncate~char~declare" Rem(每个敏感字符或者词语请使用半角 "~" 格开) M,nLPHgK
ErrorSql = split(ErrorSql,"~") rlIDym9nY~
If Request.ServerVariables("REQUEST_METHOD")="GET" Then yvz2eAXa
GetFlag=True _N&]w*ce
Else @fwk
GetFlag=False %T:7I[f
End If ><Z`)}f
If GetFlag Then N#? Ohz
For Each RequestKey In Request.QueryString Sx%vJYH0
For ForI=0 To Ubound(ErrorSql) L?gak@E
If Instr(LCase(Request.QueryString(RequestKey)),ErrorSql(ForI))<>0 Then auP6\kpMe
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" _laLTP*
Response.End "O,TL*$
End If yxU??#v|g
Next drZ1D s
Next X#!oG)or
Else (`pd>
For Each RequestKey In Request.Form rM?ox
For ForI=0 To Ubound(ErrorSql) }R -azN;
If Instr(LCase(Request.Form(RequestKey)),ErrorSql(ForI))<>0 Then 'WW['
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" G[=8Ko0U+n
Response.End p|b&hgA
End If (o5+9'y"9
Next y
At,XG3
Next h
"~GaI
End If !\%0O`b^4
%> BXf.^s{H
------------------------------------------------------------------------------------------------------------------- |2eF~tJqc
|p1pa4%}
第二个: Pxn;]!Z#
"Lp"o
<% `]xot8
'防止注入 "|:I
]ZB
dim qs,errc,iii LVj62&,-
qs=lcase(request.servervariables("query_string")) ve|`I=?2
'response.write(qs) EL[N%M3
dim deStr(18) `*nK@:
deStr(0)="net user" ^,.G<2Kx&
deStr(1)="xp_cmdshell" M!ra3Y
deStr(2)="/add" z
a^s%^:yK
deStr(3)="exec%20master.dbo.xp_cmdshell" 6s"Erq5q
deStr(4)="net localgroup administrators" }4n?k'_s?
deStr(5)="select" P_f>a?OL:
deStr(6)="count" LX
j Tqp'
deStr(7)="asc" .N]^g#
deStr(8)="char" K/Axojo
deStr(9)="mid" SSi}1
deStr(10)="'" t09,X
deStr(11)=":" bTKzwNx
deStr(12)="""" R+Ke|C
deStr(13)="insert" !.iA^D//]
deStr(14)="delete"
c0Jf
deStr(15)="drop" A20_a;V
deStr(16)="truncate" &%J{C3Q9
deStr(17)="from" A0S6 4(
deStr(18)="%" a2iaP
errc=false :$[m[y7i
for iii= 0 to ubound(deStr) 8(%iYs$
if instr(qs,deStr(iii))<>0 then Yc#o GCt
errc=true p`{9kH1m e
end if Vm&fw".J
next z@&_3 Gl
if errc then =#1iio&
Response.Write("对不起,非法URL地址请求!") b/]C,P
response.end K
^H=E
end if &&[j/d}J
%> xJ%b<y{@
2`t4@T
注入漏洞是最常见的漏洞,还有在线编辑漏洞,网上都有相关的防范方法。站点安全尤为重要,对站点的使用者有很大的影响,站点不安全,服务器就存在威胁!