今天写一篇关于站点安全的文章。 oNF6<A(@$�
很多人做网站,直接下源代码,比如动易,动网等等,除了论坛代码本身爆出的漏洞之外,站长本身不对论坛的一些敏感信息进行修改。别人只需要简单的分析一下整站系统的版本,就能知道整站源代码,然后就能知道默认管理员账号和登录连接,还有就是能知道数据库路径等等! -(���H0>Ap
所以我们下好整站系统之后就要相应的修改数据库路径以及管理账号和密码,同时要打好补丁! 1iF1GkLEq�
关于自己亲手写的代码,要做好防注入,以下列出两个通用防注入代码: 6T`�i/��".
<% ��ZWm�6�eD
'''''''''''''''''''''''''''''''''''''''''''''''' llD�kJ)\
'ASP通用防注入代码 &
B�Sn�?�
'您可以把该代码COPY到头文件中.也可以单独作 9��;If&�uM
'为一个文件存在,每次调用使用 �M8�69MDo�
'''''''''''''''''''''''''''''''''''''''''''''''' 5#z�1b��u�
Dim GetFlag Rem(提交方式) ��akTk�(��
Dim ErrorSql Rem(非法字符) RPbZ(��.��
Dim RequestKey Rem(提交数据) ox�tay�7fx
Dim ForI Rem(循环标记) �A�Q�^u���
ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid~master~truncate~char~declare" Rem(每个敏感字符或者词语请使用半角 "~" 格开) ����2st��3
ErrorSql = split(ErrorSql,"~") 0<��*��<$U
If Request.ServerVariables("REQUEST_METHOD")="GET" Then /B�L�4<T f
GetFlag=True q��ZZK#,Qb
Else U
#0�Cx-�E
GetFlag=False EK�N��~H$.
End If &#i���"=\d
If GetFlag Then ]e
V8�b*d6
For Each RequestKey In Request.QueryString �B�`s�Ak
%
For ForI=0 To Ubound(ErrorSql) NwfV�L�4Xg
If Instr(LCase(Request.QueryString(RequestKey)),ErrorSql(ForI))<>0 Then 62Ns�J<#>
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" ����g�0E'g
Response.End pTuS*��MYz
End If %S�UQ9\SEs
Next �o,w�Uc"CE
Next HOJV,9v �N
Else r�W#T
v�Un
For Each RequestKey In Request.Form �]K%!@��O!
For ForI=0 To Ubound(ErrorSql) '�O-"�\J\
If Instr(LCase(Request.Form(RequestKey)),ErrorSql(ForI))<>0 Then ��/<BI46B\
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" bQ��5\ ]5M
Response.End Z #m+ObHK1
End If m)�D|l1AtF
Next `���qw�Bn=
Next @�[v~y"tE}
End If a09<!�0Rp�
%> U`s{��
Jm�
------------------------------------------------------------------------------------------------------------------- <\S:�'g"(�
=?`c=z3~i$
第二个: HLi%%�"�'�
>KKMcTO
YY
<% %N_%J�K\{@
'防止注入 Yoll?�_k
+
dim qs,errc,iii cl/_�J�Q&
qs=lcase(request.servervariables("query_string")) *g��z{.)�W
'response.write(qs) W��n}'�bqp
dim deStr(18) e8��b:�)"R
deStr(0)="net user" Vf�1��^4�t
deStr(1)="xp_cmdshell" a-J.B.A$Z/
deStr(2)="/add" Q=�dy<kg']
deStr(3)="exec%20master.dbo.xp_cmdshell" N4HqLh
23H
deStr(4)="net localgroup administrators" -D~%|
).�'
deStr(5)="select" -|9=P\�U8S
deStr(6)="count" yaV|A�B�$v
deStr(7)="asc" -�H-~�;EzU
deStr(8)="char" SZ�Cze"`[�
deStr(9)="mid" +qdEq�_��m
deStr(10)="'" rQ� �snhv�
deStr(11)=":" �U����o�ix
deStr(12)="""" f|oh.z�_R�
deStr(13)="insert" 3irl
(��;v
deStr(14)="delete" ~7Ux@�Sx;�
deStr(15)="drop" �9�(<@O%YU
deStr(16)="truncate" {+�b7�sA3�
deStr(17)="from" =H]@n�|$�(
deStr(18)="%" FXU8[j0P_G
errc=false �wwcBsJ�1{
for iii= 0 to ubound(deStr) ,"��79�P/C
if instr(qs,deStr(iii))<>0 then mB)bcu�Pv�
errc=true 0�Wp|1)ljA
end if S$X�S�ei_q
next �S�`Rs�82>
if errc then d�UdT7�ixo
Response.Write("对不起,非法URL地址请求!") ]
@fk]��]R
response.end J9�S>yLQK
end if �E&�:,oG2M
%> 11;z�N�jD|
|
VDV<g5h
注入漏洞是最常见的漏洞,还有在线编辑漏洞,网上都有相关的防范方法。站点安全尤为重要,对站点的使用者有很大的影响,站点不安全,服务器就存在威胁!
