切换到宽版
  • 15060阅读
  • 1回复

站点安全简单防范 [复制链接]

上一主题 下一主题
 
只看楼主 倒序阅读 0楼  发表于: 2009-04-10
— 本帖被 鞋带总是开 从 Exchange中文站-灌水乐园 移动到本区(2009-07-11) —
今天写一篇关于站点安全的文章。 8Pd 9&/Y  
  很多人做网站,直接下源代码,比如动易,动网等等,除了论坛代码本身爆出的漏洞之外,站长本身不对论坛的一些敏感信息进行修改。别人只需要简单的分析一下整站系统的版本,就能知道整站源代码,然后就能知道默认管理员账号和登录连接,还有就是能知道数据库路径等等! S'|PA7a}h  
  所以我们下好整站系统之后就要相应的修改数据库路径以及管理账号和密码,同时要打好补丁! n.9k5r@  
  关于自己亲手写的代码,要做好防注入,以下列出两个通用防注入代码: LqD7SJ}/f  
<% >2>/ q?  
'''''''''''''''''''''''''''''''''''''''''''''''' /_J{JGp9  
'ASP通用防注入代码 i9Bh<j>:J  
'您可以把该代码COPY到头文件中.也可以单独作 %,vq@..^  
'为一个文件存在,每次调用使用 =\2gnk~  
'''''''''''''''''''''''''''''''''''''''''''''''' {jYVA~.|Z  
Dim GetFlag Rem(提交方式) RICm$,  
Dim ErrorSql Rem(非法字符) Sd ^I >;  
Dim RequestKey Rem(提交数据) =PA?6Bm  
Dim ForI Rem(循环标记) }U'9 d#N  
ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid~master~truncate~char~declare" Rem(每个敏感字符或者词语请使用半角 "~" 格开)  o%j?}J7y  
ErrorSql = split(ErrorSql,"~") s'N<  
If Request.ServerVariables("REQUEST_METHOD")="GET" Then !l#aq\:}~e  
GetFlag=True  D~"a"  
Else 6 M:?W"  
GetFlag=False ;Ngk"5  
End If 8%;Wyqdf]  
If GetFlag Then 3s%DF,  
For Each RequestKey In Request.QueryString YJ ,"@n_  
For ForI=0 To Ubound(ErrorSql) _Cz98VqRk  
If Instr(LCase(Request.QueryString(RequestKey)),ErrorSql(ForI))<>0 Then 0/] h"5H3  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" FY Flh^}  
Response.End QlB9m2XB  
End If t=}]4&Yp  
Next RYvdfj.ij  
Next O&/n BHu\  
Else ?0dmw?i  
For Each RequestKey In Request.Form hx@@[sKF7  
For ForI=0 To Ubound(ErrorSql) (|AZO!  
If Instr(LCase(Request.Form(RequestKey)),ErrorSql(ForI))<>0 Then ,(h -  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" L7 <30"7  
Response.End ^#e|^]] L  
End If ENqZ=Lyq  
Next Z}0{FwW"4  
Next Xe&9| M  
End If \41/84BA  
%> iTdamu`L  
------------------------------------------------------------------------------------------------------------------- TDk[,4  
?QF xds  
第二个: c0e[vrP:  
T$0 )un  
<% T&/ n.-@nk  
'防止注入 ]SAY\;,_  
dim qs,errc,iii >G!=lLyR  
qs=lcase(request.servervariables("query_string")) g"'BsoJ  
'response.write(qs) 7t<h 'g2  
dim deStr(18) B2$cY;LH  
deStr(0)="net user" o<lmU8xB=  
deStr(1)="xp_cmdshell" b 4^O=  
deStr(2)="/add" )P9]/y  
deStr(3)="exec%20master.dbo.xp_cmdshell" Bt")RG  
deStr(4)="net localgroup administrators" pe,y'w{  
deStr(5)="select" /8]K}yvR  
deStr(6)="count" MkGQ  
deStr(7)="asc" 4KxuSI^q  
deStr(8)="char" b/oNQQM#Dk  
deStr(9)="mid" Tz6I7S-w  
deStr(10)="'" PJm@fK(j  
deStr(11)=":" Tw$tE:  
deStr(12)="""" -J 6`  
deStr(13)="insert" a.UYBRP/l  
deStr(14)="delete" $'>iNMtK{p  
deStr(15)="drop" WPr:d  
deStr(16)="truncate" ua=7YG  
deStr(17)="from" <<cezSm  
deStr(18)="%" >3b< Fq$  
errc=false (p#c p  
for iii= 0 to ubound(deStr) I&i6-xp  
if instr(qs,deStr(iii))<>0 then 'z}9BGR !  
errc=true iu<Tv,{8  
end if CIo`;jt K  
next Sx~mc_ekY  
if errc then /,~]1&?}1  
Response.Write("对不起,非法URL地址请求!") 6:}n}q,V  
response.end Or$"f3gq  
end if H~#$AD+H  
%> ]vR Ol.  
: i.5 < f  
  注入漏洞是最常见的漏洞,还有在线编辑漏洞,网上都有相关的防范方法。站点安全尤为重要,对站点的使用者有很大的影响,站点不安全,服务器就存在威胁!
分享到
只看该作者 1楼  发表于: 2009-04-10

这里是讨论邮件防病毒与防垃圾邮件的版区。

l{3zlXk3z  

 

快速回复
限60 字节
 
上一个 下一个