切换到宽版
  • 15102阅读
  • 1回复

站点安全简单防范 [复制链接]

上一主题 下一主题
 
只看楼主 倒序阅读 0楼  发表于: 2009-04-10
— 本帖被 鞋带总是开 从 Exchange中文站-灌水乐园 移动到本区(2009-07-11) —
今天写一篇关于站点安全的文章。 Td8'z'  
  很多人做网站,直接下源代码,比如动易,动网等等,除了论坛代码本身爆出的漏洞之外,站长本身不对论坛的一些敏感信息进行修改。别人只需要简单的分析一下整站系统的版本,就能知道整站源代码,然后就能知道默认管理员账号和登录连接,还有就是能知道数据库路径等等! 8|yhe%-O  
  所以我们下好整站系统之后就要相应的修改数据库路径以及管理账号和密码,同时要打好补丁! n=hz7tjaz  
  关于自己亲手写的代码,要做好防注入,以下列出两个通用防注入代码: 7g(rJGjtg  
<% Z < uwqA  
'''''''''''''''''''''''''''''''''''''''''''''''' F!aYK2  
'ASP通用防注入代码 9f BD.9A  
'您可以把该代码COPY到头文件中.也可以单独作 _jeub [  
'为一个文件存在,每次调用使用 e(!a~{(kq%  
'''''''''''''''''''''''''''''''''''''''''''''''' Lg9ktRKK  
Dim GetFlag Rem(提交方式) 7d'@Z2%J0  
Dim ErrorSql Rem(非法字符) `{tykYwCLc  
Dim RequestKey Rem(提交数据) l zuPE,h  
Dim ForI Rem(循环标记) [C7:Yg7  
ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid~master~truncate~char~declare" Rem(每个敏感字符或者词语请使用半角 "~" 格开) :4)mv4Q  
ErrorSql = split(ErrorSql,"~") ;5y!,OF6  
If Request.ServerVariables("REQUEST_METHOD")="GET" Then |vEfE{  
GetFlag=True \6C"b Q  
Else &TC  
GetFlag=False E 8,53$  
End If '7_'s1  
If GetFlag Then Z\dILt:#z  
For Each RequestKey In Request.QueryString 2hU4g e ?6  
For ForI=0 To Ubound(ErrorSql) 17} ;I7  
If Instr(LCase(Request.QueryString(RequestKey)),ErrorSql(ForI))<>0 Then D8Ni=.ALL  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" 9';0vrFeM  
Response.End XV+BSW7}  
End If 6p1TI1(  
Next i<%(Z[9Lk  
Next _#N~$   
Else _$Z46wHmB  
For Each RequestKey In Request.Form '@pav>UPD  
For ForI=0 To Ubound(ErrorSql) zRf]SZ(t O  
If Instr(LCase(Request.Form(RequestKey)),ErrorSql(ForI))<>0 Then bM;tQ38*  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" Q^0K8>G^  
Response.End fI}-?@  
End If {/B) YR  
Next ixfkMM ,W  
Next -AcQ_dS  
End If sH+]lTSX6{  
%> Rz b663d  
------------------------------------------------------------------------------------------------------------------- ~Bu~?ZJmd  
QouTMS-b  
第二个: 0} P&G^%"  
6 t A?<S  
<% =E |[8 U)  
'防止注入 Yz%=  
dim qs,errc,iii CsuSg*#X+  
qs=lcase(request.servervariables("query_string"))  NPf,9c;  
'response.write(qs) :%!SzI?  
dim deStr(18) tK8\Ib J  
deStr(0)="net user" wBeOMA  
deStr(1)="xp_cmdshell" '| Ag,x[  
deStr(2)="/add" %/S BJ  
deStr(3)="exec%20master.dbo.xp_cmdshell"  hi.{  
deStr(4)="net localgroup administrators" ^Jc~G~x4*  
deStr(5)="select" %\5y6  
deStr(6)="count" &;%+Hduc  
deStr(7)="asc" M_*w)<  
deStr(8)="char" uiiA)j*!  
deStr(9)="mid" G%'h'AV"  
deStr(10)="'" y/kCzDT,  
deStr(11)=":" 7a @V2cr@  
deStr(12)="""" BDB-OJ  
deStr(13)="insert" %iJ6;V 4  
deStr(14)="delete" ~r>WnI:vg  
deStr(15)="drop" S6]D;c8GE  
deStr(16)="truncate" UbMcXH8=F  
deStr(17)="from" a IqNNR  
deStr(18)="%" Bv9;q3]z-  
errc=false *NXwllrci  
for iii= 0 to ubound(deStr) li;P,kg$  
if instr(qs,deStr(iii))<>0 then @ ?e;Jp9  
errc=true xn6E f"  
end if y{jv-&!xB  
next n,V`Y'v)  
if errc then SkPv.H0Id  
Response.Write("对不起,非法URL地址请求!") T,H]svN5p  
response.end EDnmYaa)dZ  
end if X )nOY*  
%> aD 3$z;E  
qTffh{q V  
  注入漏洞是最常见的漏洞,还有在线编辑漏洞,网上都有相关的防范方法。站点安全尤为重要,对站点的使用者有很大的影响,站点不安全,服务器就存在威胁!
分享到
只看该作者 1楼  发表于: 2009-04-10

这里是讨论邮件防病毒与防垃圾邮件的版区。

tQwbIX-7/  

 

快速回复
限60 字节
 
上一个 下一个