今天写一篇关于站点安全的文章。 Ex,J�B +��
很多人做网站,直接下源代码,比如动易,动网等等,除了论坛代码本身爆出的漏洞之外,站长本身不对论坛的一些敏感信息进行修改。别人只需要简单的分析一下整站系统的版本,就能知道整站源代码,然后就能知道默认管理员账号和登录连接,还有就是能知道数据库路径等等! %_t��k7x��
所以我们下好整站系统之后就要相应的修改数据库路径以及管理账号和密码,同时要打好补丁! �'0�Zm#��g
关于自己亲手写的代码,要做好防注入,以下列出两个通用防注入代码: #\b� ��;2>
<% x�YT}��>#[
'''''''''''''''''''''''''''''''''''''''''''''''' �:�HZ;Po �
'ASP通用防注入代码 N$�'>XtO��
'您可以把该代码COPY到头文件中.也可以单独作 "|4jP��za
'为一个文件存在,每次调用使用 WFh�@%�j��
'''''''''''''''''''''''''''''''''''''''''''''''' �V<�
�-htV
Dim GetFlag Rem(提交方式) P3$�,�ca'�
Dim ErrorSql Rem(非法字符) ^g]xU1] *�
Dim RequestKey Rem(提交数据) $r"A@69^RS
Dim ForI Rem(循环标记) ^gm�>!-G�x
ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid~master~truncate~char~declare" Rem(每个敏感字符或者词语请使用半角 "~" 格开) �b7�'F|�h^
ErrorSql = split(ErrorSql,"~") :V�FT��Vmr
If Request.ServerVariables("REQUEST_METHOD")="GET" Then :Y.e[@!1x�
GetFlag=True uu3�M{*�}�
Else �iBH�w[X,b
GetFlag=False I��<`V_���
End If A9��n41,h�
If GetFlag Then Yq0#� #_�_
For Each RequestKey In Request.QueryString
;f(n.i�
For ForI=0 To Ubound(ErrorSql) IO[^z
v4�F
If Instr(LCase(Request.QueryString(RequestKey)),ErrorSql(ForI))<>0 Then "
Z;uu)NE
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" �n#�>5?�W�
Response.End jM\� �%$_/
End If D��Q�5W�6W
Next *tG11gR,&�
Next �G�;�2��[�
Else �l:�z���};
For Each RequestKey In Request.Form
Ars�,V3ep
For ForI=0 To Ubound(ErrorSql) �_?C���kq�
If Instr(LCase(Request.Form(RequestKey)),ErrorSql(ForI))<>0 Then �uo 4x
nzc
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" �EW;��1`�x
Response.End t�&�p�G��Q
End If e?vj+ZlS$f
Next T&4fBMBp,%
Next �[0op)K�n�
End If I7�b�i@t��
%> U3VT*n��j'
-------------------------------------------------------------------------------------------------------------------
?3�6�0SQ<
Gt'/D>FE0�
第二个: �86��{ZFtv
CXa Ld7nMX
<% �^�N{X��"�
'防止注入 �_FF�v#R*4
dim qs,errc,iii f
M9x�y \.
qs=lcase(request.servervariables("query_string")) \4@a������
'response.write(qs) {r�{��>?)O
dim deStr(18) tj#b_�u z�
deStr(0)="net user" �gUb
"3g0�
deStr(1)="xp_cmdshell" F��o�LDMx(
deStr(2)="/add" dg�Y5c��cP
deStr(3)="exec%20master.dbo.xp_cmdshell" 2$DS
B�QEx
deStr(4)="net localgroup administrators" �7
V��/�Zr
deStr(5)="select" S| "�
TP\o
deStr(6)="count" }#|2z��}�!
deStr(7)="asc" 7�?"9J��`*
deStr(8)="char" &z QW�I�v�
deStr(9)="mid" GDmv0V$6�
deStr(10)="'" .)�0gz!Z��
deStr(11)=":" >�.@MR<H#5
deStr(12)="""" 7yUvL�8p-�
deStr(13)="insert" r"[L0�C�bb
deStr(14)="delete" �?Hk.|�5A}
deStr(15)="drop" rT<�1S?jR�
deStr(16)="truncate" b�QpoXs0w;
deStr(17)="from" wK�LN:aRF2
deStr(18)="%" 6>lW5U^yA\
errc=false (�ic@�3:xR
for iii= 0 to ubound(deStr) �*c�Qz[S@F
if instr(qs,deStr(iii))<>0 then lR[�z�<2w\
errc=true gQ,4x�T��X
end if rxArTpS{.#
next ,L~snR��'w
if errc then dL(4���mR8
Response.Write("对不起,非法URL地址请求!") X�$�PS(_M
response.end U-ULQ|�6U�
end if �o�o'iwq-\
%> E]?2!)mgce
'D�q"e$JM<
注入漏洞是最常见的漏洞,还有在线编辑漏洞,网上都有相关的防范方法。站点安全尤为重要,对站点的使用者有很大的影响,站点不安全,服务器就存在威胁!
