切换到宽版
  • 14615阅读
  • 1回复

站点安全简单防范 [复制链接]

上一主题 下一主题
 
只看楼主 倒序阅读 0楼  发表于: 2009-04-10
— 本帖被 鞋带总是开 从 Exchange中文站-灌水乐园 移动到本区(2009-07-11) —
今天写一篇关于站点安全的文章。 xg^fM@#m  
  很多人做网站,直接下源代码,比如动易,动网等等,除了论坛代码本身爆出的漏洞之外,站长本身不对论坛的一些敏感信息进行修改。别人只需要简单的分析一下整站系统的版本,就能知道整站源代码,然后就能知道默认管理员账号和登录连接,还有就是能知道数据库路径等等! E{6}'FG+A  
  所以我们下好整站系统之后就要相应的修改数据库路径以及管理账号和密码,同时要打好补丁! RdDcMZ  
  关于自己亲手写的代码,要做好防注入,以下列出两个通用防注入代码: uc<@ Fh(  
<% b>7ts_b  
'''''''''''''''''''''''''''''''''''''''''''''''' up1aFzY|6x  
'ASP通用防注入代码 c:6w >:  
'您可以把该代码COPY到头文件中.也可以单独作 }O>Zu[8a  
'为一个文件存在,每次调用使用 62 _$O"  
'''''''''''''''''''''''''''''''''''''''''''''''' B.G!7>=  
Dim GetFlag Rem(提交方式) eLTNnz  
Dim ErrorSql Rem(非法字符) &q< 8tTW5  
Dim RequestKey Rem(提交数据) "J.jmR;  
Dim ForI Rem(循环标记) +|H'I j$  
ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid~master~truncate~char~declare" Rem(每个敏感字符或者词语请使用半角 "~" 格开) FO5SXwx  
ErrorSql = split(ErrorSql,"~") 4bB xZ Y  
If Request.ServerVariables("REQUEST_METHOD")="GET" Then EsWszpRqb  
GetFlag=True C49 G&  
Else i\ Vpp8<B  
GetFlag=False ye%F <:O7  
End If 8$vH&Hd I  
If GetFlag Then c[y8"M5  
For Each RequestKey In Request.QueryString VM!x)i9z  
For ForI=0 To Ubound(ErrorSql) =z/F=1^<  
If Instr(LCase(Request.QueryString(RequestKey)),ErrorSql(ForI))<>0 Then @j (jOe  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" /trc&V  
Response.End :acQK=fe  
End If  %aKkk)s  
Next 10J*S[n1  
Next 0/ 6&2  
Else mqHt%RX  
For Each RequestKey In Request.Form !LJ.L?9qw  
For ForI=0 To Ubound(ErrorSql) AWDjj\Q4  
If Instr(LCase(Request.Form(RequestKey)),ErrorSql(ForI))<>0 Then qck/b  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" ]x G8vy  
Response.End cP1jw%3P  
End If $"8k|^Z3  
Next C6K|:IK{  
Next 6Gs{nFw  
End If %^a]J"Ydi8  
%> 94~"U5oQ:  
------------------------------------------------------------------------------------------------------------------- B;xZ% M]  
qpb/g6g  
第二个: v2/yw,  
h]kn%?fpmB  
<% Zg)_cRR   
'防止注入 Y brx %  
dim qs,errc,iii rQ`\JE&`  
qs=lcase(request.servervariables("query_string")) 'ox0o:  
'response.write(qs) Q^$ghZ6V  
dim deStr(18) opm?':Qst  
deStr(0)="net user" OD  
deStr(1)="xp_cmdshell" 8g<Q5(  
deStr(2)="/add" 7))y}N:p  
deStr(3)="exec%20master.dbo.xp_cmdshell" 0n4g $JK7  
deStr(4)="net localgroup administrators" t2=a(N-/,  
deStr(5)="select" X}zX`]:I'  
deStr(6)="count" ^~ Ekg:`  
deStr(7)="asc" lo cW_/  
deStr(8)="char" Ho|o,XvLv  
deStr(9)="mid" ~ A^E  
deStr(10)="'" +<S9E'gT3V  
deStr(11)=":" jMN)?6$=  
deStr(12)="""" k0H?9Z4k5  
deStr(13)="insert" siZr@g!L  
deStr(14)="delete" W3 De|V^  
deStr(15)="drop" Sp 7u_Pq{  
deStr(16)="truncate" b->eg 8|  
deStr(17)="from" qq OxTG]  
deStr(18)="%"  7]p>XAb  
errc=false Ap11b|v  
for iii= 0 to ubound(deStr) p Tcbq  
if instr(qs,deStr(iii))<>0 then Qo'yS"g<9)  
errc=true ~'NX~<m  
end if <_"B}c/2$  
next Yuwc$Qp)  
if errc then 7)B&(2D&  
Response.Write("对不起,非法URL地址请求!") {I4%   
response.end A5sf  
end if S-isL4D.Z  
%> 8{R&EijC  
nYOY"'z  
  注入漏洞是最常见的漏洞,还有在线编辑漏洞,网上都有相关的防范方法。站点安全尤为重要,对站点的使用者有很大的影响,站点不安全,服务器就存在威胁!
分享到
只看该作者 1楼  发表于: 2009-04-10

这里是讨论邮件防病毒与防垃圾邮件的版区。

3I|O^   

 

快速回复
限60 字节
 
上一个 下一个