切换到宽版
  • 14400阅读
  • 1回复

站点安全简单防范 [复制链接]

上一主题 下一主题
 
只看楼主 倒序阅读 0楼  发表于: 2009-04-10
— 本帖被 鞋带总是开 从 Exchange中文站-灌水乐园 移动到本区(2009-07-11) —
今天写一篇关于站点安全的文章。 BNe6q[ )W~  
  很多人做网站,直接下源代码,比如动易,动网等等,除了论坛代码本身爆出的漏洞之外,站长本身不对论坛的一些敏感信息进行修改。别人只需要简单的分析一下整站系统的版本,就能知道整站源代码,然后就能知道默认管理员账号和登录连接,还有就是能知道数据库路径等等! !*@sX7H  
  所以我们下好整站系统之后就要相应的修改数据库路径以及管理账号和密码,同时要打好补丁! 0O:')R&  
  关于自己亲手写的代码,要做好防注入,以下列出两个通用防注入代码: wio}<Y6Xz  
<% t\%gP@?  
'''''''''''''''''''''''''''''''''''''''''''''''' 8e3I@mv  
'ASP通用防注入代码 Uc?#E $X  
'您可以把该代码COPY到头文件中.也可以单独作 k2cC:5Xf3  
'为一个文件存在,每次调用使用 yq2pg8%  
'''''''''''''''''''''''''''''''''''''''''''''''' U%nLo[k  
Dim GetFlag Rem(提交方式) ! +# pGSk  
Dim ErrorSql Rem(非法字符) Vy7o}z`  
Dim RequestKey Rem(提交数据) QBI;aG<+b>  
Dim ForI Rem(循环标记) b qNM  
ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid~master~truncate~char~declare" Rem(每个敏感字符或者词语请使用半角 "~" 格开) @fSBW+  
ErrorSql = split(ErrorSql,"~") _wKaFf  
If Request.ServerVariables("REQUEST_METHOD")="GET" Then  rr= e  
GetFlag=True qoXncdDHZ  
Else -@EAL:kY  
GetFlag=False c$ skLz  
End If M$0-!$RY  
If GetFlag Then 1 ||\3L/  
For Each RequestKey In Request.QueryString CFU'- #b  
For ForI=0 To Ubound(ErrorSql) fyE#8h_>4  
If Instr(LCase(Request.QueryString(RequestKey)),ErrorSql(ForI))<>0 Then _pS |bqF  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" X|w[:[P  
Response.End c_#+xGS!7  
End If [|!A3o  
Next w( ^  
Next Lradyo44u\  
Else p\ }Ep  
For Each RequestKey In Request.Form ;9rS[$^$O  
For ForI=0 To Ubound(ErrorSql) E'O[E=  
If Instr(LCase(Request.Form(RequestKey)),ErrorSql(ForI))<>0 Then 2)zAX"#/  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" ,=@%XMS  
Response.End !ENDQ?1  
End If n$oHr  
Next 3</gK$f2  
Next #7}1W[y9}l  
End If $|V@3`0  
%> U'(@?]2 <G  
------------------------------------------------------------------------------------------------------------------- Z>si%Npm\  
7} 2Aq  
第二个: Z.D O 2=+=  
Q'B2!9=LB  
<% M)JKe!0ad1  
'防止注入 OmR) W'  
dim qs,errc,iii )Z0bMO<  
qs=lcase(request.servervariables("query_string")) JgmX=6N  
'response.write(qs) :_f5(N*{5o  
dim deStr(18) TC+L\7   
deStr(0)="net user" B3V;  
deStr(1)="xp_cmdshell" (L3Etan4RE  
deStr(2)="/add" lEWF~L5=:  
deStr(3)="exec%20master.dbo.xp_cmdshell" hmQ;!9  
deStr(4)="net localgroup administrators" aF41?.s  
deStr(5)="select" DZ7<-SFU  
deStr(6)="count" ' M'k$G@Z  
deStr(7)="asc" Gjh8>(  
deStr(8)="char" v?=y9lEH@%  
deStr(9)="mid" k:qS'  
deStr(10)="'" X DdF7i}  
deStr(11)=":" ^f%hhpV@  
deStr(12)="""" Fb0r(vQ^  
deStr(13)="insert" r$ 8 ^K\oF  
deStr(14)="delete" 5SNa~ kC&  
deStr(15)="drop" >3Mzs AH\  
deStr(16)="truncate" 3\B 28m  
deStr(17)="from" C3"5XR_Ov  
deStr(18)="%" -E(0}\  
errc=false Ey#7L M)  
for iii= 0 to ubound(deStr) cfP9b8J G  
if instr(qs,deStr(iii))<>0 then (rfR:[JkC2  
errc=true ._i|+[  
end if !F|#TETrt  
next c&GVIrJ  
if errc then 'fIoN%  
Response.Write("对不起,非法URL地址请求!") ~]_U!r[FA  
response.end fZ5zsm'N  
end if ]9P2v X   
%> !5}u\  
-/'_XR@1  
  注入漏洞是最常见的漏洞,还有在线编辑漏洞,网上都有相关的防范方法。站点安全尤为重要,对站点的使用者有很大的影响,站点不安全,服务器就存在威胁!
分享到
只看该作者 1楼  发表于: 2009-04-10

这里是讨论邮件防病毒与防垃圾邮件的版区。

9Gc4mwu  

 

快速回复
限60 字节
 
上一个 下一个