切换到宽版
  • 14327阅读
  • 1回复

站点安全简单防范 [复制链接]

上一主题 下一主题
 
只看楼主 倒序阅读 0楼  发表于: 2009-04-10
— 本帖被 鞋带总是开 从 Exchange中文站-灌水乐园 移动到本区(2009-07-11) —
今天写一篇关于站点安全的文章。 =]W[{@P  
  很多人做网站,直接下源代码,比如动易,动网等等,除了论坛代码本身爆出的漏洞之外,站长本身不对论坛的一些敏感信息进行修改。别人只需要简单的分析一下整站系统的版本,就能知道整站源代码,然后就能知道默认管理员账号和登录连接,还有就是能知道数据库路径等等! $3^Cp_p6  
  所以我们下好整站系统之后就要相应的修改数据库路径以及管理账号和密码,同时要打好补丁! A$W~R  
  关于自己亲手写的代码,要做好防注入,以下列出两个通用防注入代码: cP >[H:\Xc  
<% =r>u'wRQ  
'''''''''''''''''''''''''''''''''''''''''''''''' k[5:]5lp+  
'ASP通用防注入代码 gH|:=vfYUR  
'您可以把该代码COPY到头文件中.也可以单独作 o%[swoM@  
'为一个文件存在,每次调用使用  ]YKxJ''u  
'''''''''''''''''''''''''''''''''''''''''''''''' jF0>w  m  
Dim GetFlag Rem(提交方式) `z<I<  
Dim ErrorSql Rem(非法字符) {Z^q?~zC[  
Dim RequestKey Rem(提交数据) kuW^_BROJ  
Dim ForI Rem(循环标记) `-w;/A"MJ  
ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid~master~truncate~char~declare" Rem(每个敏感字符或者词语请使用半角 "~" 格开) +W}6o3x~  
ErrorSql = split(ErrorSql,"~") wYN/ }>M  
If Request.ServerVariables("REQUEST_METHOD")="GET" Then ! +XreCw  
GetFlag=True NWII?X#T}  
Else ?=V;5H.  
GetFlag=False `clp#l.ii  
End If p?'&P!  
If GetFlag Then a<l DT_2b  
For Each RequestKey In Request.QueryString .._UI2MA  
For ForI=0 To Ubound(ErrorSql) $9?<mP2-*  
If Instr(LCase(Request.QueryString(RequestKey)),ErrorSql(ForI))<>0 Then 5O"$'iL  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" )H[Pz.'ah0  
Response.End ..UA*#%1  
End If @k||gQqIB  
Next oR'u&\mB  
Next CK(`]-q>,  
Else WXe]Q b g  
For Each RequestKey In Request.Form j},3@TFh  
For ForI=0 To Ubound(ErrorSql) 5b;~& N4~  
If Instr(LCase(Request.Form(RequestKey)),ErrorSql(ForI))<>0 Then <^Jdl.G  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" zAH6SaI$  
Response.End J)P7QTC  
End If nXfd f-  
Next L4or*C^3  
Next -nDY3$U/  
End If EfGy^`,'G  
%> f}w_]l#[G  
------------------------------------------------------------------------------------------------------------------- 0@kL<\u  
q:u,)6  
第二个: A/88WC$v  
+PKd </*]  
<% w7b\?]}@  
'防止注入 #i=k-FA)H  
dim qs,errc,iii yVgHu#?PM  
qs=lcase(request.servervariables("query_string")) q0VR&b`?>D  
'response.write(qs) 1EA#c>I$  
dim deStr(18) u Fn?U)  
deStr(0)="net user" |H>;a@2d  
deStr(1)="xp_cmdshell" 0n*D](/NK  
deStr(2)="/add" U}DLzn|w  
deStr(3)="exec%20master.dbo.xp_cmdshell" Ar'k6NX  
deStr(4)="net localgroup administrators" ayQ2#9X}  
deStr(5)="select" %`}nP3  
deStr(6)="count" t"jiLOQ[6  
deStr(7)="asc" %'.3t|zH  
deStr(8)="char" %{&,5|8  
deStr(9)="mid" LyRW\\z2  
deStr(10)="'" [Z;ei1l  
deStr(11)=":" s%^@@Dk  
deStr(12)="""" t {H{xd  
deStr(13)="insert" 1\-r5e; BE  
deStr(14)="delete" t: *1* ;  
deStr(15)="drop" '+7"dHLC;  
deStr(16)="truncate" 1x^Vv;K  
deStr(17)="from" Q2<v: *L  
deStr(18)="%" zV8{|-2]No  
errc=false 2 :wgt  
for iii= 0 to ubound(deStr) |G/W S0  
if instr(qs,deStr(iii))<>0 then ry0YS\W  
errc=true w$"^)E G,7  
end if #|=Q5"wU  
next z[' 2  
if errc then T}59m;I  
Response.Write("对不起,非法URL地址请求!") L wn  
response.end 8~y&"  \  
end if moL3GV%]Gq  
%> r0*Y~ KHw  
8yk4#CZ  
  注入漏洞是最常见的漏洞,还有在线编辑漏洞,网上都有相关的防范方法。站点安全尤为重要,对站点的使用者有很大的影响,站点不安全,服务器就存在威胁!
分享到
只看该作者 1楼  发表于: 2009-04-10

这里是讨论邮件防病毒与防垃圾邮件的版区。

CV)K=Br5&_  

 

快速回复
限60 字节
 
上一个 下一个