切换到宽版
  • 14616阅读
  • 1回复

站点安全简单防范 [复制链接]

上一主题 下一主题
 
只看楼主 倒序阅读 0楼  发表于: 2009-04-10
— 本帖被 鞋带总是开 从 Exchange中文站-灌水乐园 移动到本区(2009-07-11) —
今天写一篇关于站点安全的文章。 j\\uW)ibG  
  很多人做网站,直接下源代码,比如动易,动网等等,除了论坛代码本身爆出的漏洞之外,站长本身不对论坛的一些敏感信息进行修改。别人只需要简单的分析一下整站系统的版本,就能知道整站源代码,然后就能知道默认管理员账号和登录连接,还有就是能知道数据库路径等等! C>*1f|<  
  所以我们下好整站系统之后就要相应的修改数据库路径以及管理账号和密码,同时要打好补丁! 7.nNz&UG]5  
  关于自己亲手写的代码,要做好防注入,以下列出两个通用防注入代码: m0,TH[HWGF  
<% Ro.br:'Bw  
'''''''''''''''''''''''''''''''''''''''''''''''' El^V[s'3  
'ASP通用防注入代码 J] )gXVR M  
'您可以把该代码COPY到头文件中.也可以单独作 p7p6~;P  
'为一个文件存在,每次调用使用 [l*;+N+  
'''''''''''''''''''''''''''''''''''''''''''''''' QD;:!$Du  
Dim GetFlag Rem(提交方式) xxZO{_q  
Dim ErrorSql Rem(非法字符) v@1f,d  
Dim RequestKey Rem(提交数据) c9ea%7o{0a  
Dim ForI Rem(循环标记) e% #?B *  
ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid~master~truncate~char~declare" Rem(每个敏感字符或者词语请使用半角 "~" 格开) IWT -)+  
ErrorSql = split(ErrorSql,"~") c{{RP6o/j=  
If Request.ServerVariables("REQUEST_METHOD")="GET" Then bcUa'ZfN<  
GetFlag=True AmX ~KK  
Else j-k]|0ea}  
GetFlag=False e8U6D+jY  
End If @^t1SP p  
If GetFlag Then THcX.%ToT  
For Each RequestKey In Request.QueryString wqF_hs(O  
For ForI=0 To Ubound(ErrorSql) 'p&q}IO  
If Instr(LCase(Request.QueryString(RequestKey)),ErrorSql(ForI))<>0 Then Jl fIYf~  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" m~`f0  
Response.End CP LsSv5  
End If :OD-L)Or  
Next 2rrC y C  
Next 2Xqa?ay0>  
Else C[[:/X(c  
For Each RequestKey In Request.Form tKCX0UZ'  
For ForI=0 To Ubound(ErrorSql) IQyw>_~]  
If Instr(LCase(Request.Form(RequestKey)),ErrorSql(ForI))<>0 Then @0D  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" =GL^tAUJ  
Response.End C4|H 5H  
End If DoFF<LXBt  
Next ~kOXMLRg  
Next =p \eh?^  
End If ?#| in}  
%> t $u.  
------------------------------------------------------------------------------------------------------------------- OP98sd&T  
q\d/-K  
第二个: bb!cZ >Z  
8 S@"6TG`  
<% )rbcY0q  
'防止注入 `C)|}qcC  
dim qs,errc,iii jP )VTk_  
qs=lcase(request.servervariables("query_string")) VX'G\Zz@h|  
'response.write(qs) T5+ (Fz  
dim deStr(18) Gf<%bQ E  
deStr(0)="net user" K}!YXy h  
deStr(1)="xp_cmdshell" ;BW-ag \9  
deStr(2)="/add" )vD|VLV   
deStr(3)="exec%20master.dbo.xp_cmdshell" 7xfN}iHG  
deStr(4)="net localgroup administrators" [W8?ww%qT  
deStr(5)="select" zC WN,K`  
deStr(6)="count" *|S{%z9>  
deStr(7)="asc" 0GcOI}  
deStr(8)="char" `e }6/~R`  
deStr(9)="mid" K{`3,U2Wx  
deStr(10)="'" Jzj>=jWX@  
deStr(11)=":" .tzQ hd>  
deStr(12)="""" xeKfc}:&z  
deStr(13)="insert" qj*77  
deStr(14)="delete" $sb `BS  
deStr(15)="drop" Df}3^J~JX  
deStr(16)="truncate" #F:\_!2c  
deStr(17)="from" :Y[?@/m4  
deStr(18)="%" 8M6Qn7{L  
errc=false t}2M8ue(&  
for iii= 0 to ubound(deStr) S!g0J}.z  
if instr(qs,deStr(iii))<>0 then x-H R[{C  
errc=true wmaj[e,h  
end if uE&2M>2  
next ?dQ#% 06mn  
if errc then jWGX :XB  
Response.Write("对不起,非法URL地址请求!") nT%<!/}!  
response.end 7KZ>x*o  
end if f=Kt[|%'e  
%> : G0^t  
 $j'8Z^  
  注入漏洞是最常见的漏洞,还有在线编辑漏洞,网上都有相关的防范方法。站点安全尤为重要,对站点的使用者有很大的影响,站点不安全,服务器就存在威胁!
分享到
只看该作者 1楼  发表于: 2009-04-10

这里是讨论邮件防病毒与防垃圾邮件的版区。

Wf9K+my  

 

快速回复
限60 字节
 
上一个 下一个