切换到宽版
  • 14590阅读
  • 1回复

站点安全简单防范 [复制链接]

上一主题 下一主题
 
只看楼主 倒序阅读 0楼  发表于: 2009-04-10
— 本帖被 鞋带总是开 从 Exchange中文站-灌水乐园 移动到本区(2009-07-11) —
今天写一篇关于站点安全的文章。 Ex,JB +  
  很多人做网站,直接下源代码,比如动易,动网等等,除了论坛代码本身爆出的漏洞之外,站长本身不对论坛的一些敏感信息进行修改。别人只需要简单的分析一下整站系统的版本,就能知道整站源代码,然后就能知道默认管理员账号和登录连接,还有就是能知道数据库路径等等! %_tk7x  
  所以我们下好整站系统之后就要相应的修改数据库路径以及管理账号和密码,同时要打好补丁! '0Zm#g  
  关于自己亲手写的代码,要做好防注入,以下列出两个通用防注入代码: #\b ;2>  
<% xYT}>#[  
'''''''''''''''''''''''''''''''''''''''''''''''' :HZ;Po   
'ASP通用防注入代码 N$'>XtO  
'您可以把该代码COPY到头文件中.也可以单独作 "|4jP za  
'为一个文件存在,每次调用使用 WFh@%j  
'''''''''''''''''''''''''''''''''''''''''''''''' V< -htV  
Dim GetFlag Rem(提交方式) P3$,ca'  
Dim ErrorSql Rem(非法字符) ^g]xU1] *  
Dim RequestKey Rem(提交数据) $r"A@69^RS  
Dim ForI Rem(循环标记) ^gm>!-Gx  
ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid~master~truncate~char~declare" Rem(每个敏感字符或者词语请使用半角 "~" 格开) b7'F|h^  
ErrorSql = split(ErrorSql,"~") :VFTVmr  
If Request.ServerVariables("REQUEST_METHOD")="GET" Then :Y.e[@!1x  
GetFlag=True uu3M{*}  
Else iBHw[X,b  
GetFlag=False I<`V_  
End If A9 n41,h  
If GetFlag Then Yq0# #__  
For Each RequestKey In Request.QueryString ;f(n.i  
For ForI=0 To Ubound(ErrorSql) IO[^z v4F  
If Instr(LCase(Request.QueryString(RequestKey)),ErrorSql(ForI))<>0 Then " Z;uu)NE  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" n#>5?W  
Response.End jM\ %$_/  
End If DQ5W6W  
Next *tG11gR,&  
Next G;2[  
Else l:z };  
For Each RequestKey In Request.Form Ars,V3ep  
For ForI=0 To Ubound(ErrorSql) _?Ckq  
If Instr(LCase(Request.Form(RequestKey)),ErrorSql(ForI))<>0 Then uo 4x nzc  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" EW;1`x  
Response.End t&pGQ  
End If e?vj+ZlS$f  
Next T&4fBMBp,%  
Next [0op)Kn  
End If I7bi@t  
%> U3VT*nj'  
------------------------------------------------------------------------------------------------------------------- ?360SQ<  
Gt'/D>FE0  
第二个: 86{ZFtv  
CXa Ld7nMX  
<% ^N{X "  
'防止注入 _FFv#R*4  
dim qs,errc,iii f M9xy \.  
qs=lcase(request.servervariables("query_string")) \4@a  
'response.write(qs) {r{>?)O  
dim deStr(18) tj#b_ u z  
deStr(0)="net user" gUb "3g0  
deStr(1)="xp_cmdshell" Fo LDMx(  
deStr(2)="/add" dgY5ccP  
deStr(3)="exec%20master.dbo.xp_cmdshell" 2$DS BQEx  
deStr(4)="net localgroup administrators" 7 V/Zr  
deStr(5)="select" S| " TP\o  
deStr(6)="count" }#|2z}!  
deStr(7)="asc" 7?"9J `*  
deStr(8)="char" &z QWIv  
deStr(9)="mid" GDmv0V$6  
deStr(10)="'" .)0gz!Z  
deStr(11)=":" >.@MR<H#5  
deStr(12)="""" 7yUvL8p-  
deStr(13)="insert" r"[L0Cbb  
deStr(14)="delete" ?Hk.|5A}  
deStr(15)="drop" rT<1S?jR  
deStr(16)="truncate" bQpoXs0w;  
deStr(17)="from" wKLN:aRF2  
deStr(18)="%" 6>lW5U^yA\  
errc=false (ic@3:xR  
for iii= 0 to ubound(deStr) *cQz[S@F  
if instr(qs,deStr(iii))<>0 then lR[z<2w\  
errc=true gQ,4xTX  
end if rxArTpS{.#  
next ,L~snR'w  
if errc then dL(4mR8  
Response.Write("对不起,非法URL地址请求!") X$PS(_M  
response.end U-ULQ|6U  
end if oo'iwq-\  
%> E]?2!)mgce  
'Dq"e$JM<  
  注入漏洞是最常见的漏洞,还有在线编辑漏洞,网上都有相关的防范方法。站点安全尤为重要,对站点的使用者有很大的影响,站点不安全,服务器就存在威胁!
分享到
只看该作者 1楼  发表于: 2009-04-10

这里是讨论邮件防病毒与防垃圾邮件的版区。

^[*AK_o_DQ  

 

快速回复
限60 字节
 
上一个 下一个