今天写一篇关于站点安全的文章。 )|3BS`
很多人做网站,直接下源代码,比如动易,动网等等,除了论坛代码本身爆出的漏洞之外,站长本身不对论坛的一些敏感信息进行修改。别人只需要简单的分析一下整站系统的版本,就能知道整站源代码,然后就能知道默认管理员账号和登录连接,还有就是能知道数据库路径等等! rebnV&-
所以我们下好整站系统之后就要相应的修改数据库路径以及管理账号和密码,同时要打好补丁! tV?-
关于自己亲手写的代码,要做好防注入,以下列出两个通用防注入代码: O|K-UTWH%
<% Nm$Ba.Rg
'''''''''''''''''''''''''''''''''''''''''''''''' ]gjQy.c|
'ASP通用防注入代码 eJbZA&:
'您可以把该代码COPY到头文件中.也可以单独作 CWT#1L=
'为一个文件存在,每次调用使用 h4p<n&)F
'''''''''''''''''''''''''''''''''''''''''''''''' ]#k=VKdV
Dim GetFlag Rem(提交方式) {g9*t}l4
Dim ErrorSql Rem(非法字符) GmhfBW?
Dim RequestKey Rem(提交数据) 'h}(> %
Dim ForI Rem(循环标记) Lb]!TOl
ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid~master~truncate~char~declare" Rem(每个敏感字符或者词语请使用半角 "~" 格开) zUuOX5-6x
ErrorSql = split(ErrorSql,"~") B7x(<!B
If Request.ServerVariables("REQUEST_METHOD")="GET" Then (A(j.[4a
GetFlag=True K@%o$S?>z_
Else 3JYhF)G
GetFlag=False FEY_(70
End If OSoIH`tA
If GetFlag Then JuW"4R
For Each RequestKey In Request.QueryString TOT#l6yqdd
For ForI=0 To Ubound(ErrorSql) H(?)v.%
If Instr(LCase(Request.QueryString(RequestKey)),ErrorSql(ForI))<>0 Then ncGt
-l<9
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" =csh=V@s
Response.End 4y*"w*L
End If A
1Ru&fd!
Next J.;!l
Next 21k,{FB'?
Else `D/<*e,#
For Each RequestKey In Request.Form lbs0i
For ForI=0 To Ubound(ErrorSql) j(~e{HZ
If Instr(LCase(Request.Form(RequestKey)),ErrorSql(ForI))<>0 Then ycq+C8J+Ep
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" K_!R
Response.End *k
YJwO^
End If qu\cU(H|
Next [>$?/DM
Next T.(C`/VM
End If '4KN
%> :$6m
S[@|
------------------------------------------------------------------------------------------------------------------- \LG0
rEHlo[7^
第二个: <)$&V*\
h;Hg/jv
<% UuS6y9@v
'防止注入 1.0:
dim qs,errc,iii #| pn,/
qs=lcase(request.servervariables("query_string")) L"KKW
c
'response.write(qs) 2dsXG$-W2
dim deStr(18) o$QC:%[#
deStr(0)="net user" _D 9/,n$
deStr(1)="xp_cmdshell" %$Dn);6=
deStr(2)="/add" CdZ. T/x
deStr(3)="exec%20master.dbo.xp_cmdshell" }~NM\rm
deStr(4)="net localgroup administrators" >:Y"D
X-
deStr(5)="select" *{:Zdg'~E
deStr(6)="count" !zVjbYWY
deStr(7)="asc"
aD^jlt
deStr(8)="char" |)VNf.aJZ
deStr(9)="mid" [][ze2+b
deStr(10)="'" @.&KRAZ
deStr(11)=":" }j$tFFVi~
deStr(12)="""" C'~Eq3
deStr(13)="insert" 4A0v>G`E*#
deStr(14)="delete" vpq"mpfkh
deStr(15)="drop" G_WHW(8
deStr(16)="truncate" lS!O(NzqE'
deStr(17)="from" T{N8 K K
deStr(18)="%" ^X"x,8}&V
errc=false )(c%QWz
for iii= 0 to ubound(deStr) 8%a
^j\L
if instr(qs,deStr(iii))<>0 then 9[
o$/x}
errc=true
/YvwQ
end if 0,8RA_Ca}
next >7cDfv"
if errc then 6(Ntt
Response.Write("对不起,非法URL地址请求!") {d)L0KXK
response.end \J;]g\
&I"
end if ;E!] /oY<
%> _?K,Jc8j.
gO@LJ
注入漏洞是最常见的漏洞,还有在线编辑漏洞,网上都有相关的防范方法。站点安全尤为重要,对站点的使用者有很大的影响,站点不安全,服务器就存在威胁!