切换到宽版
  • 14563阅读
  • 1回复

站点安全简单防范 [复制链接]

上一主题 下一主题
 
只看楼主 倒序阅读 0楼  发表于: 2009-04-10
— 本帖被 鞋带总是开 从 Exchange中文站-灌水乐园 移动到本区(2009-07-11) —
今天写一篇关于站点安全的文章。 ]a*26AbU+  
  很多人做网站,直接下源代码,比如动易,动网等等,除了论坛代码本身爆出的漏洞之外,站长本身不对论坛的一些敏感信息进行修改。别人只需要简单的分析一下整站系统的版本,就能知道整站源代码,然后就能知道默认管理员账号和登录连接,还有就是能知道数据库路径等等! 'fzJw  
  所以我们下好整站系统之后就要相应的修改数据库路径以及管理账号和密码,同时要打好补丁! j!0-3Y Kv  
  关于自己亲手写的代码,要做好防注入,以下列出两个通用防注入代码: <5h}\5#<j  
<% m>!o Yy_  
'''''''''''''''''''''''''''''''''''''''''''''''' $0~1;@`rQ6  
'ASP通用防注入代码 &a\G,Ma  
'您可以把该代码COPY到头文件中.也可以单独作 !# xi^I  
'为一个文件存在,每次调用使用 ye}86{l  
'''''''''''''''''''''''''''''''''''''''''''''''' ?fc<3q"  
Dim GetFlag Rem(提交方式) {8%KO1xB  
Dim ErrorSql Rem(非法字符) 9Nz}'a;?>  
Dim RequestKey Rem(提交数据) cb. -AlqQ  
Dim ForI Rem(循环标记) "N}MhcdS  
ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid~master~truncate~char~declare" Rem(每个敏感字符或者词语请使用半角 "~" 格开) DwTVoCC  
ErrorSql = split(ErrorSql,"~") M3JV^{O/DV  
If Request.ServerVariables("REQUEST_METHOD")="GET" Then `:0A uw9h  
GetFlag=True C8(0|XX  
Else /7.//klN  
GetFlag=False +*e Vi3  
End If {9Q**U`w  
If GetFlag Then DoICf1  
For Each RequestKey In Request.QueryString w`=XoYQl~*  
For ForI=0 To Ubound(ErrorSql) s4=EyBI  
If Instr(LCase(Request.QueryString(RequestKey)),ErrorSql(ForI))<>0 Then gS|6,A9  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" Pb V1FB_  
Response.End $o)}@TC  
End If 1@~ 1vsJ  
Next }p8iq  
Next mK^E@uxN  
Else }`76yH^c  
For Each RequestKey In Request.Form ScT{Tb]9bt  
For ForI=0 To Ubound(ErrorSql) PHH,vO[eO  
If Instr(LCase(Request.Form(RequestKey)),ErrorSql(ForI))<>0 Then 6"r _Y7%  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" UMPW<> z  
Response.End 2';{o=TXV  
End If UdpuQzV<4`  
Next [l~G7u.d  
Next 4P7r\ hs  
End If <e@4;Z(h04  
%> q$<VLrx  
------------------------------------------------------------------------------------------------------------------- a`U/|[JM  
scE#&OWF%  
第二个: h=kC3ot\  
|#(y?! A^  
<% dI%Nwl%  
'防止注入 ow'CwOj$  
dim qs,errc,iii x-q_sZ^8  
qs=lcase(request.servervariables("query_string")) $L'[_J  
'response.write(qs) 5n e&6  
dim deStr(18) Ju"c!vu~  
deStr(0)="net user" xd4~[n\hm  
deStr(1)="xp_cmdshell" &hM7y7  
deStr(2)="/add" h ij 9r z  
deStr(3)="exec%20master.dbo.xp_cmdshell" bq}`jP~#  
deStr(4)="net localgroup administrators" 'XOWSx;Y  
deStr(5)="select" "_+8z_  
deStr(6)="count" E$v!Z;A  
deStr(7)="asc" d-H03F@N  
deStr(8)="char" >YcaFnY  
deStr(9)="mid" /%b nG(4  
deStr(10)="'" aR)w~s\6  
deStr(11)=":" E>u U6#v  
deStr(12)="""" /.t1Ow  
deStr(13)="insert" }Am5b@g"$Y  
deStr(14)="delete" 's a>G  
deStr(15)="drop" \[A JWyP  
deStr(16)="truncate" 5YgT*}L+,  
deStr(17)="from" NBw{  
deStr(18)="%" xi)$t#K"  
errc=false |[ )pQGw  
for iii= 0 to ubound(deStr) !-JvVdM;(  
if instr(qs,deStr(iii))<>0 then +iNp8  
errc=true dleCh+ny?  
end if qsYg %Z  
next vm =d?*cR  
if errc then ZsP>CELm@  
Response.Write("对不起,非法URL地址请求!") CSBDSz  
response.end NLt"yD3t  
end if 0W)|n9  
%> G#1W":|`  
l.BiE<&  
  注入漏洞是最常见的漏洞,还有在线编辑漏洞,网上都有相关的防范方法。站点安全尤为重要,对站点的使用者有很大的影响,站点不安全,服务器就存在威胁!
分享到
只看该作者 1楼  发表于: 2009-04-10

这里是讨论邮件防病毒与防垃圾邮件的版区。

eWr6@  

 

快速回复
限60 字节
 
上一个 下一个