今天写一篇关于站点安全的文章。 Td8'z'
很多人做网站,直接下源代码,比如动易,动网等等,除了论坛代码本身爆出的漏洞之外,站长本身不对论坛的一些敏感信息进行修改。别人只需要简单的分析一下整站系统的版本,就能知道整站源代码,然后就能知道默认管理员账号和登录连接,还有就是能知道数据库路径等等! 8|yhe%-O
所以我们下好整站系统之后就要相应的修改数据库路径以及管理账号和密码,同时要打好补丁! n=hz7tjaz
关于自己亲手写的代码,要做好防注入,以下列出两个通用防注入代码: 7g(rJGjtg
<% Z< uwqA
'''''''''''''''''''''''''''''''''''''''''''''''' F!a YK2
'ASP通用防注入代码 9f
BD.9A
'您可以把该代码COPY到头文件中.也可以单独作 _jeub [
'为一个文件存在,每次调用使用 e(!a~{(kq%
'''''''''''''''''''''''''''''''''''''''''''''''' Lg9ktRKK
Dim GetFlag Rem(提交方式) 7d'@Z2%J0
Dim ErrorSql Rem(非法字符) `{tykYwCLc
Dim RequestKey Rem(提交数据) l
zuPE,h
Dim ForI Rem(循环标记) [C7:Yg7
ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid~master~truncate~char~declare" Rem(每个敏感字符或者词语请使用半角 "~" 格开) :4)mv4Q
ErrorSql = split(ErrorSql,"~") ;5y!,OF6
If Request.ServerVariables("REQUEST_METHOD")="GET" Then |vEfE{
GetFlag=True \6C"b
Q
Else &TC
GetFlag=False E 8,53$
End If '7_'s1
If GetFlag Then Z\dILt:#z
For Each RequestKey In Request.QueryString 2hU4g
e
?6
For ForI=0 To Ubound(ErrorSql) 17}
;I7
If Instr(LCase(Request.QueryString(RequestKey)),ErrorSql(ForI))<>0 Then D8Ni=.ALL
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" 9';0vrFeM
Response.End XV+BSW7}
End If 6p1TI1(
Next i<%(Z[9Lk
Next _#N~$
Else _$Z46wHmB
For Each RequestKey In Request.Form '@pav>UPD
For ForI=0 To Ubound(ErrorSql) zRf]SZ(tO
If Instr(LCase(Request.Form(RequestKey)),ErrorSql(ForI))<>0 Then bM;tQ38*
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" Q^0K8>G^
Response.End fI}-?@
End If {/B) YR
Next ixfkMM,W
Next -AcQ_dS
End If sH+]lTSX6{
%> Rz
b663d
------------------------------------------------------------------------------------------------------------------- ~Bu~?ZJmd
QouTMS-b
第二个: 0}P&G^%"
6 t A?<S
<% =E
|[8 U)
'防止注入 Y z%=
dim qs,errc,iii CsuSg*#X+
qs=lcase(request.servervariables("query_string")) NPf,9c;
'response.write(qs) :%!SzI?
dim deStr(18)
tK8\Ib J
deStr(0)="net user" wBeOMA
deStr(1)="xp_cmdshell" '| Ag,x[
deStr(2)="/add" %/S BJ
deStr(3)="exec%20master.dbo.xp_cmdshell" hi.{
deStr(4)="net localgroup administrators" ^Jc~G~x4*
deStr(5)="select" %\5y6
deStr(6)="count" &;%+Hduc
deStr(7)="asc" M_*w)<
deStr(8)="char"
uiiA)j*!
deStr(9)="mid" G%'h'AV"
deStr(10)="'" y/kCzDT,
deStr(11)=":" 7a
@V2cr@
deStr(12)="""" BDB-OJ
deStr(13)="insert" %iJ6;V4
deStr(14)="delete" ~r>WnI:vg
deStr(15)="drop" S6]D;c8GE
deStr(16)="truncate" UbMcXH8=F
deStr(17)="from" a
IqNNR
deStr(18)="%" Bv9;q3]z-
errc=false *NXwllrci
for iii= 0 to ubound(deStr) li; P,kg$
if instr(qs,deStr(iii))<>0 then @?e;Jp9
errc=true xn6E f"
end if y{jv-&!xB
next n,V`Y'v)
if errc then SkPv.H0Id
Response.Write("对不起,非法URL地址请求!") T,H]svN5p
response.end EDnmYaa)dZ
end if X
)nOY*
%> aD3$z;E
qTffh{q V
注入漏洞是最常见的漏洞,还有在线编辑漏洞,网上都有相关的防范方法。站点安全尤为重要,对站点的使用者有很大的影响,站点不安全,服务器就存在威胁!