切换到宽版
  • 13869阅读
  • 1回复

站点安全简单防范 [复制链接]

上一主题 下一主题
 
只看楼主 倒序阅读 0楼  发表于: 2009-04-10
— 本帖被 鞋带总是开 从 Exchange中文站-灌水乐园 移动到本区(2009-07-11) —
今天写一篇关于站点安全的文章。 )|3BS`  
  很多人做网站,直接下源代码,比如动易,动网等等,除了论坛代码本身爆出的漏洞之外,站长本身不对论坛的一些敏感信息进行修改。别人只需要简单的分析一下整站系统的版本,就能知道整站源代码,然后就能知道默认管理员账号和登录连接,还有就是能知道数据库路径等等! rebnV&-  
  所以我们下好整站系统之后就要相应的修改数据库路径以及管理账号和密码,同时要打好补丁! tV?-   
  关于自己亲手写的代码,要做好防注入,以下列出两个通用防注入代码: O|K-UTWH%  
<% Nm$B a.Rg  
'''''''''''''''''''''''''''''''''''''''''''''''' ]gjQy.c|  
'ASP通用防注入代码 eJbZA&:  
'您可以把该代码COPY到头文件中.也可以单独作 CWT#1L=  
'为一个文件存在,每次调用使用 h4p<n&)F  
'''''''''''''''''''''''''''''''''''''''''''''''' ]#k=VKdV  
Dim GetFlag Rem(提交方式) {g9*t}l4  
Dim ErrorSql Rem(非法字符) GmhfBW?  
Dim RequestKey Rem(提交数据) 'h} (>%  
Dim ForI Rem(循环标记) Lb]!TOl  
ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid~master~truncate~char~declare" Rem(每个敏感字符或者词语请使用半角 "~" 格开) zUuOX5-6x  
ErrorSql = split(ErrorSql,"~") B7x( <!B  
If Request.ServerVariables("REQUEST_METHOD")="GET" Then (A(j.[4a  
GetFlag=True K@%o$S?>z_  
Else 3JYhF)G  
GetFlag=False FEY_(70  
End If OSoIH`t A  
If GetFlag Then JuW"4R  
For Each RequestKey In Request.QueryString TOT#l6yqdd  
For ForI=0 To Ubound(ErrorSql) H(?)v.%  
If Instr(LCase(Request.QueryString(RequestKey)),ErrorSql(ForI))<>0 Then ncGt -l<9  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" =csh=V@s  
Response.End 4y*"w*L  
End If A 1Ru&fd!  
Next J.;!l   
Next 21k,{FB'?  
Else `D/<*e,#  
For Each RequestKey In Request.Form l bs0i  
For ForI=0 To Ubound(ErrorSql) j(~e{HZ  
If Instr(LCase(Request.Form(RequestKey)),ErrorSql(ForI))<>0 Then ycq+C8J+Ep  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" K_! R   
Response.End *k Y JwO^  
End If qu\cU(H|  
Next [>$?/DM  
Next T.(C`/VM  
End If '4KN  
%> :$6m S[@|  
------------------------------------------------------------------------------------------------------------------- \LG0   
rEHlo[7^  
第二个: <)$&V*\  
h;Hg/jv  
<% UuS6y9@v  
'防止注入 1.0:   
dim qs,errc,iii #| pn,/  
qs=lcase(request.servervariables("query_string")) L"KKW c  
'response.write(qs) 2dsXG$-W2  
dim deStr(18) o$QC:%[#  
deStr(0)="net user" _D 9/,n$  
deStr(1)="xp_cmdshell" %$D n);6=  
deStr(2)="/add" CdZ. T/x  
deStr(3)="exec%20master.dbo.xp_cmdshell" } ~NM\rm  
deStr(4)="net localgroup administrators" >:Y"D X-  
deStr(5)="select" *{:Zdg'~E  
deStr(6)="count" !zVjbYWY  
deStr(7)="asc" aD^jlt  
deStr(8)="char" |)VNf .aJZ  
deStr(9)="mid" [][ze2+b  
deStr(10)="'" @.&KRAZ  
deStr(11)=":" }j$tFFVi~  
deStr(12)="""" C'~E q3  
deStr(13)="insert" 4A0v>G`E*#  
deStr(14)="delete" vpq"mpfkh  
deStr(15)="drop" G_WHW(8   
deStr(16)="truncate" lS!O(NzqE'  
deStr(17)="from" T{N8 K K  
deStr(18)="%" ^X"x,8}&V  
errc=false )(c%QWz  
for iii= 0 to ubound(deStr) 8%a ^j\L  
if instr(qs,deStr(iii))<>0 then 9[ o$/x}  
errc=true /YvwQ  
end if 0,8RA_Ca}  
next >7 cDfv"  
if errc then 6(Ntt  
Response.Write("对不起,非法URL地址请求!") {d)L0KXK  
response.end \J;]g\ &I"  
end if ;E!] /oY<  
%> _?K,Jc8j.  
gO@LJ  
  注入漏洞是最常见的漏洞,还有在线编辑漏洞,网上都有相关的防范方法。站点安全尤为重要,对站点的使用者有很大的影响,站点不安全,服务器就存在威胁!
分享到
只看该作者 1楼  发表于: 2009-04-10

这里是讨论邮件防病毒与防垃圾邮件的版区。

NQcg}y  

 

快速回复
限60 字节
 
上一个 下一个