切换到宽版
  • 15088阅读
  • 1回复

站点安全简单防范 [复制链接]

上一主题 下一主题
 
只看楼主 倒序阅读 0楼  发表于: 2009-04-10
— 本帖被 鞋带总是开 从 Exchange中文站-灌水乐园 移动到本区(2009-07-11) —
今天写一篇关于站点安全的文章。 {+5Ud#\y  
  很多人做网站,直接下源代码,比如动易,动网等等,除了论坛代码本身爆出的漏洞之外,站长本身不对论坛的一些敏感信息进行修改。别人只需要简单的分析一下整站系统的版本,就能知道整站源代码,然后就能知道默认管理员账号和登录连接,还有就是能知道数据库路径等等! j`Ek:  
  所以我们下好整站系统之后就要相应的修改数据库路径以及管理账号和密码,同时要打好补丁! ]|K6Z>V  
  关于自己亲手写的代码,要做好防注入,以下列出两个通用防注入代码: (?GW/pLK]  
<% q^ &r<i  
'''''''''''''''''''''''''''''''''''''''''''''''' /74h+.amg  
'ASP通用防注入代码 E*,nKJu'r  
'您可以把该代码COPY到头文件中.也可以单独作 (m2_Eh;  
'为一个文件存在,每次调用使用 ![I|hB  
'''''''''''''''''''''''''''''''''''''''''''''''' Ff =%eg]  
Dim GetFlag Rem(提交方式) m9D Tz$S.  
Dim ErrorSql Rem(非法字符) =C|^C3HK  
Dim RequestKey Rem(提交数据) i ;Kax4k  
Dim ForI Rem(循环标记) `6#s+JA[  
ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid~master~truncate~char~declare" Rem(每个敏感字符或者词语请使用半角 "~" 格开) PAC=LQn&  
ErrorSql = split(ErrorSql,"~") oe<@mz/  
If Request.ServerVariables("REQUEST_METHOD")="GET" Then CQ{{J{pU"  
GetFlag=True w7q6v>  
Else >b:5&s\9  
GetFlag=False |-cXb.M[  
End If _sL;E<)y(  
If GetFlag Then zR/mz)6_  
For Each RequestKey In Request.QueryString '|Lv -7  
For ForI=0 To Ubound(ErrorSql) bkpN`+c  
If Instr(LCase(Request.QueryString(RequestKey)),ErrorSql(ForI))<>0 Then +nB0O/m'U  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" zqQ[uO]m?  
Response.End H,7!"!?@N  
End If /Ah'KN|EN  
Next ]!jfrj  
Next @W==)S%O  
Else LZ&I<ID`-  
For Each RequestKey In Request.Form P{J9#.Zq&s  
For ForI=0 To Ubound(ErrorSql) ]HXHz(?;F  
If Instr(LCase(Request.Form(RequestKey)),ErrorSql(ForI))<>0 Then MpJ\4D5G  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" ^LXsU] R  
Response.End V_n tS& 2o  
End If UV{})T*s  
Next X Vo+ <&  
Next 'V <Z mJ2  
End If *mYGs )|  
%> V|awbff:  
------------------------------------------------------------------------------------------------------------------- X(8LhsP  
/L|x3RHs  
第二个: [ `_sH\  
YV>&v.x0;  
<% Lm1JiP s d  
'防止注入 497l2}0  
dim qs,errc,iii 2FO<Z %Y  
qs=lcase(request.servervariables("query_string")) ' eWG v  
'response.write(qs) Dk2Zl  
dim deStr(18) [T/S/@IT  
deStr(0)="net user" _~P &8  
deStr(1)="xp_cmdshell" 7xWJw  
deStr(2)="/add" kK:Wr&X0H  
deStr(3)="exec%20master.dbo.xp_cmdshell" 7*WO9R/  
deStr(4)="net localgroup administrators" &h7 n>q  
deStr(5)="select" F8/n;  
deStr(6)="count" 8|L5nQ  
deStr(7)="asc" id`RscV]  
deStr(8)="char" MhD=\Lpj\  
deStr(9)="mid" y~M 6  
deStr(10)="'" c]$$ap  
deStr(11)=":" yWT1CID  
deStr(12)="""" CC$rt2\e  
deStr(13)="insert" )!G 10  
deStr(14)="delete" yB{1&S5 C  
deStr(15)="drop" &arJe!K  
deStr(16)="truncate" v5?ct?q  
deStr(17)="from" 1r*@1y<0"  
deStr(18)="%" 9.#")%_p  
errc=false Z}SqiT  
for iii= 0 to ubound(deStr) WqCj;Tj|  
if instr(qs,deStr(iii))<>0 then p`52  
errc=true z-sq9 Qp&x  
end if fI=p^k:  
next  s%5XBI  
if errc then CU*;>h1~u  
Response.Write("对不起,非法URL地址请求!") 1 C*mR%Q  
response.end iex]J@=e  
end if "W9z>ezp  
%> n 1^h;2gz  
V;Ln|._/t  
  注入漏洞是最常见的漏洞,还有在线编辑漏洞,网上都有相关的防范方法。站点安全尤为重要,对站点的使用者有很大的影响,站点不安全,服务器就存在威胁!
分享到
只看该作者 1楼  发表于: 2009-04-10

这里是讨论邮件防病毒与防垃圾邮件的版区。

T5:xia>8O  

 

快速回复
限60 字节
 
上一个 下一个