切换到宽版
  • 14645阅读
  • 1回复

站点安全简单防范 [复制链接]

上一主题 下一主题
 
只看楼主 倒序阅读 0楼  发表于: 2009-04-10
— 本帖被 鞋带总是开 从 Exchange中文站-灌水乐园 移动到本区(2009-07-11) —
今天写一篇关于站点安全的文章。 ci{9ODN  
  很多人做网站,直接下源代码,比如动易,动网等等,除了论坛代码本身爆出的漏洞之外,站长本身不对论坛的一些敏感信息进行修改。别人只需要简单的分析一下整站系统的版本,就能知道整站源代码,然后就能知道默认管理员账号和登录连接,还有就是能知道数据库路径等等! h1G*y  
  所以我们下好整站系统之后就要相应的修改数据库路径以及管理账号和密码,同时要打好补丁! ZmYSi$B  
  关于自己亲手写的代码,要做好防注入,以下列出两个通用防注入代码: %O4}i@Fe  
<% /I`bh  
'''''''''''''''''''''''''''''''''''''''''''''''' +*r**(-Dm  
'ASP通用防注入代码 5pKvNLy.t  
'您可以把该代码COPY到头文件中.也可以单独作 O[5_ 9W 4  
'为一个文件存在,每次调用使用 5* o\z&*L  
'''''''''''''''''''''''''''''''''''''''''''''''' ib""Fv7{  
Dim GetFlag Rem(提交方式)  '!r+Tz  
Dim ErrorSql Rem(非法字符) &?5{z\;1"  
Dim RequestKey Rem(提交数据) Wzf1-0t  
Dim ForI Rem(循环标记) f2SU5e2  
ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid~master~truncate~char~declare" Rem(每个敏感字符或者词语请使用半角 "~" 格开) jU3;jm.)  
ErrorSql = split(ErrorSql,"~") @FnI?Rx  
If Request.ServerVariables("REQUEST_METHOD")="GET" Then ` + n  
GetFlag=True 'o#J>a~!9L  
Else I!soV0V U]  
GetFlag=False J4*:.8Ki  
End If N .Wdi  
If GetFlag Then avbr7 X(  
For Each RequestKey In Request.QueryString 08d_DCR  
For ForI=0 To Ubound(ErrorSql) I ]WeZ,E  
If Instr(LCase(Request.QueryString(RequestKey)),ErrorSql(ForI))<>0 Then nDoiG#N0  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" [Q.4]K2  
Response.End #<PA- y  
End If wn A%Nh7  
Next #?b^B~ #  
Next r%m7YwXo  
Else zw%n!wc_\  
For Each RequestKey In Request.Form fEv< W  
For ForI=0 To Ubound(ErrorSql) +{=_|3(  
If Instr(LCase(Request.Form(RequestKey)),ErrorSql(ForI))<>0 Then Ql6ai  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" bVAgul=__  
Response.End )68fm\t(  
End If j~,LoGuPh  
Next >b!X&JU  
Next 8#d1}Y  
End If #pm-nU%|_j  
%> _WjETyh [H  
------------------------------------------------------------------------------------------------------------------- vxilQp  
HC;I0&v>  
第二个: lu@>?,<  
ZR01<V  
<% ek;&<Z_ ]  
'防止注入 ]ZryY EB  
dim qs,errc,iii E23 Yk?"  
qs=lcase(request.servervariables("query_string"))   L@k;L  
'response.write(qs) :(?hLH.W[  
dim deStr(18) zcD_}t_K  
deStr(0)="net user" / Vm}+"BCS  
deStr(1)="xp_cmdshell" ?3"D| cS1  
deStr(2)="/add" r~D~7MNl  
deStr(3)="exec%20master.dbo.xp_cmdshell" fO|~Oz<S  
deStr(4)="net localgroup administrators" 7)(`  
deStr(5)="select" Y +_5"LV  
deStr(6)="count" jcv1z v.  
deStr(7)="asc" :?:j$ =nWN  
deStr(8)="char" AZ9\>U@hD  
deStr(9)="mid" ,b.4uJg'  
deStr(10)="'" TXh@  
deStr(11)=":" F#}1{$)% /  
deStr(12)="""" C +?@iMh  
deStr(13)="insert" ap$ tu3j  
deStr(14)="delete" cLyuCaH>c  
deStr(15)="drop" s eZ<52f2  
deStr(16)="truncate" ";S*[d.2tA  
deStr(17)="from" i\Q"a B"r  
deStr(18)="%" V.gY1   
errc=false c!u}KVH  
for iii= 0 to ubound(deStr) h@m n GE  
if instr(qs,deStr(iii))<>0 then >&TnTv?I  
errc=true 5q_OuZ/6  
end if (P>eWw\0  
next :kiO  
if errc then kFIB lPV  
Response.Write("对不起,非法URL地址请求!") )`+@j.75  
response.end #G , *j  
end if 1-N X>E5  
%> J"2ODB5"  
yL3<X w|  
  注入漏洞是最常见的漏洞,还有在线编辑漏洞,网上都有相关的防范方法。站点安全尤为重要,对站点的使用者有很大的影响,站点不安全,服务器就存在威胁!
分享到
只看该作者 1楼  发表于: 2009-04-10

这里是讨论邮件防病毒与防垃圾邮件的版区。

mM{v>Em2K#  

 

快速回复
限60 字节
 
上一个 下一个