切换到宽版
  • 14465阅读
  • 1回复

站点安全简单防范 [复制链接]

上一主题 下一主题
 
只看楼主 倒序阅读 0楼  发表于: 2009-04-10
— 本帖被 鞋带总是开 从 Exchange中文站-灌水乐园 移动到本区(2009-07-11) —
今天写一篇关于站点安全的文章。 =osv3>&q  
  很多人做网站,直接下源代码,比如动易,动网等等,除了论坛代码本身爆出的漏洞之外,站长本身不对论坛的一些敏感信息进行修改。别人只需要简单的分析一下整站系统的版本,就能知道整站源代码,然后就能知道默认管理员账号和登录连接,还有就是能知道数据库路径等等! v-#Q7T  
  所以我们下好整站系统之后就要相应的修改数据库路径以及管理账号和密码,同时要打好补丁! z`!X hU  
  关于自己亲手写的代码,要做好防注入,以下列出两个通用防注入代码: `}(b2Hc>  
<% uW30ep'  
'''''''''''''''''''''''''''''''''''''''''''''''' eCqHvMp  
'ASP通用防注入代码 )\eI ;8  
'您可以把该代码COPY到头文件中.也可以单独作 F ~^Jmp7Y  
'为一个文件存在,每次调用使用 y`F3Hr c  
'''''''''''''''''''''''''''''''''''''''''''''''' j7jCm:  
Dim GetFlag Rem(提交方式) m;'6MHx;  
Dim ErrorSql Rem(非法字符) AfX}y+Ah  
Dim RequestKey Rem(提交数据) jFASX2.p  
Dim ForI Rem(循环标记) !9[>L@#G  
ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid~master~truncate~char~declare" Rem(每个敏感字符或者词语请使用半角 "~" 格开) EH256f(&  
ErrorSql = split(ErrorSql,"~") x D5:RE~g  
If Request.ServerVariables("REQUEST_METHOD")="GET" Then  1Md  
GetFlag=True *pSQU=dmS  
Else eM$sv9?  
GetFlag=False V8rx#H~  
End If )Qe~ 8u@?  
If GetFlag Then n@C[@?D  
For Each RequestKey In Request.QueryString %/|9@er  
For ForI=0 To Ubound(ErrorSql) `-(|>5wWS  
If Instr(LCase(Request.QueryString(RequestKey)),ErrorSql(ForI))<>0 Then ToJ$A`_!`  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" Oy%''+g   
Response.End kMb}1J0i"  
End If l|/ep:x8  
Next Y&S24aql  
Next !ePr5On  
Else YE|SKx@  
For Each RequestKey In Request.Form Y"~gw~7OD  
For ForI=0 To Ubound(ErrorSql) bmfI~8  
If Instr(LCase(Request.Form(RequestKey)),ErrorSql(ForI))<>0 Then S 5/R_5  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" Fh`~`eog  
Response.End E~]R2!9  
End If vhpNpgz  
Next }|g\ 8jq  
Next #~7ip\Uf[  
End If MCS8y+QK  
%> ~io szX  
------------------------------------------------------------------------------------------------------------------- 0\[Chja  
PcA2/!a  
第二个: YL]Z<%aKt  
.!f$ \1l  
<% OR%'K2C6S  
'防止注入 tn Pv70m  
dim qs,errc,iii TygW0b 1  
qs=lcase(request.servervariables("query_string")) iPd[l {85Z  
'response.write(qs) }s(N6a&(  
dim deStr(18) SZ,YS 4M  
deStr(0)="net user" E^vJ@O  
deStr(1)="xp_cmdshell" -o!$tI&  
deStr(2)="/add" JT3-AAi[Z  
deStr(3)="exec%20master.dbo.xp_cmdshell" d8[J@M53|T  
deStr(4)="net localgroup administrators" _a6[{_Pc  
deStr(5)="select" hWD;jR  
deStr(6)="count" "JlpU-8[0@  
deStr(7)="asc" X~lVVBO  
deStr(8)="char" AS =?@2 q  
deStr(9)="mid" N+Y]s t+  
deStr(10)="'" _H j!2 '  
deStr(11)=":" BI3@|,._N  
deStr(12)="""" .?R!D YC`  
deStr(13)="insert" lu<xv  
deStr(14)="delete" ,1[q^-9  
deStr(15)="drop" .NYbi@bk(<  
deStr(16)="truncate" %p2Sh)@M  
deStr(17)="from" P*FMwrJj>r  
deStr(18)="%" v6>_ j L  
errc=false D|e uX7b  
for iii= 0 to ubound(deStr) , Wk?I%>  
if instr(qs,deStr(iii))<>0 then lfqiyYFm  
errc=true +kzo*zW$L  
end if ,.kha8v  
next v^#~98g]  
if errc then c(!6^qk]!`  
Response.Write("对不起,非法URL地址请求!") -_1>C\h"  
response.end >8 k _n  
end if BW 4% l  
%> E`?3PA8  
Dpl A?  
  注入漏洞是最常见的漏洞,还有在线编辑漏洞,网上都有相关的防范方法。站点安全尤为重要,对站点的使用者有很大的影响,站点不安全,服务器就存在威胁!
分享到
只看该作者 1楼  发表于: 2009-04-10

这里是讨论邮件防病毒与防垃圾邮件的版区。

"#{4d),r  

 

快速回复
限60 字节
 
上一个 下一个