切换到宽版
  • 14428阅读
  • 1回复

站点安全简单防范 [复制链接]

上一主题 下一主题
 
只看楼主 倒序阅读 0楼  发表于: 2009-04-10
— 本帖被 鞋带总是开 从 Exchange中文站-灌水乐园 移动到本区(2009-07-11) —
今天写一篇关于站点安全的文章。 {>fvyF  
  很多人做网站,直接下源代码,比如动易,动网等等,除了论坛代码本身爆出的漏洞之外,站长本身不对论坛的一些敏感信息进行修改。别人只需要简单的分析一下整站系统的版本,就能知道整站源代码,然后就能知道默认管理员账号和登录连接,还有就是能知道数据库路径等等! / _-?NZ  
  所以我们下好整站系统之后就要相应的修改数据库路径以及管理账号和密码,同时要打好补丁! m*  |3  
  关于自己亲手写的代码,要做好防注入,以下列出两个通用防注入代码: {l.) *#O  
<% 1$?O5.X:  
'''''''''''''''''''''''''''''''''''''''''''''''' DY^q_+[V  
'ASP通用防注入代码 ?Q wDV`  
'您可以把该代码COPY到头文件中.也可以单独作 Fl]$ql   
'为一个文件存在,每次调用使用 _ mhP:O  
'''''''''''''''''''''''''''''''''''''''''''''''' jL^zS XQB  
Dim GetFlag Rem(提交方式) BQ,]]}e43z  
Dim ErrorSql Rem(非法字符) ueZ`+g~gg  
Dim RequestKey Rem(提交数据) -lRXH7|X  
Dim ForI Rem(循环标记) 9yajtR  
ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid~master~truncate~char~declare" Rem(每个敏感字符或者词语请使用半角 "~" 格开) }7+G'=XI/  
ErrorSql = split(ErrorSql,"~") "]JE]n}Ulg  
If Request.ServerVariables("REQUEST_METHOD")="GET" Then 0XSZ3dY&+  
GetFlag=True fOm=#:O  
Else z(i B$;M  
GetFlag=False BM& 95p   
End If P )_g t  
If GetFlag Then Ex^7`-2,B  
For Each RequestKey In Request.QueryString ueDG1)  
For ForI=0 To Ubound(ErrorSql) f I`6]?W  
If Instr(LCase(Request.QueryString(RequestKey)),ErrorSql(ForI))<>0 Then Tf Q(f?  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" [?)}0cd0  
Response.End FGG Fi(  
End If 4&!`Yi_1L  
Next |L.QIr,jCC  
Next uXxyw7\W  
Else 66fvS}x  
For Each RequestKey In Request.Form Jj*XnL*  
For ForI=0 To Ubound(ErrorSql) 5'?K(Jdmp  
If Instr(LCase(Request.Form(RequestKey)),ErrorSql(ForI))<>0 Then #,Fk  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" _OZrH(8  
Response.End UMpC2)5  
End If aN}yS=(Ff  
Next P-ys$=  
Next 0diQfu)Fi  
End If |0ACapp!  
%> G?&0Z++  
------------------------------------------------------------------------------------------------------------------- FcdbL,}=<  
uNxR#S  
第二个: Eh#W*Bg  
{1'XS,2  
<% R#1h.8  
'防止注入 29z+<?K{  
dim qs,errc,iii (WCpaC  
qs=lcase(request.servervariables("query_string")) I{JU<A,&  
'response.write(qs) 9(QY~F  
dim deStr(18) D0v!fF ~  
deStr(0)="net user" VzA~w` $d  
deStr(1)="xp_cmdshell" A/lxXy}D  
deStr(2)="/add" q%bNT  
deStr(3)="exec%20master.dbo.xp_cmdshell" he8y  
deStr(4)="net localgroup administrators" 5.0BaVwi  
deStr(5)="select" b|u4h9  
deStr(6)="count" ;3h[=hyS  
deStr(7)="asc" ]$Ky ZHj{  
deStr(8)="char" &7,Kv0j}  
deStr(9)="mid" F/tBr%RV  
deStr(10)="'" aU<0<Dx  
deStr(11)=":" DhG2!'N  
deStr(12)="""" MM3 X! tq  
deStr(13)="insert" K!7o#"GM  
deStr(14)="delete" $T8Ni!#/C  
deStr(15)="drop" e!d& #ofw|  
deStr(16)="truncate" UaiDo"i  
deStr(17)="from" /PE3>"|wE  
deStr(18)="%" "uDLty?*k  
errc=false ah>;wW!6/  
for iii= 0 to ubound(deStr) 7C9qkQ Jqn  
if instr(qs,deStr(iii))<>0 then {UQpD   
errc=true 8O qG{jmG  
end if s+2\uMwf*  
next i{I'+% ~R  
if errc then IfF<8~~E  
Response.Write("对不起,非法URL地址请求!") U`ey7   
response.end ]QJLES  
end if RvZi%)  
%> l"*qj#FD  
Vx;f/CH3!  
  注入漏洞是最常见的漏洞,还有在线编辑漏洞,网上都有相关的防范方法。站点安全尤为重要,对站点的使用者有很大的影响,站点不安全,服务器就存在威胁!
分享到
只看该作者 1楼  发表于: 2009-04-10

这里是讨论邮件防病毒与防垃圾邮件的版区。

k?0yH$)'t  

 

快速回复
限60 字节
 
上一个 下一个