切换到宽版
  • 14646阅读
  • 1回复

站点安全简单防范 [复制链接]

上一主题 下一主题
 
只看楼主 倒序阅读 0楼  发表于: 2009-04-10
— 本帖被 鞋带总是开 从 Exchange中文站-灌水乐园 移动到本区(2009-07-11) —
今天写一篇关于站点安全的文章。 )~l`%+  
  很多人做网站,直接下源代码,比如动易,动网等等,除了论坛代码本身爆出的漏洞之外,站长本身不对论坛的一些敏感信息进行修改。别人只需要简单的分析一下整站系统的版本,就能知道整站源代码,然后就能知道默认管理员账号和登录连接,还有就是能知道数据库路径等等! CA{(x(W\:  
  所以我们下好整站系统之后就要相应的修改数据库路径以及管理账号和密码,同时要打好补丁! COf>H0^%Q  
  关于自己亲手写的代码,要做好防注入,以下列出两个通用防注入代码: c*# *8R9.y  
<% Zl+Ba   
'''''''''''''''''''''''''''''''''''''''''''''''' Y^@Nvt$<K  
'ASP通用防注入代码 Fz4g:8qdA  
'您可以把该代码COPY到头文件中.也可以单独作 coQ>CbHg  
'为一个文件存在,每次调用使用 VDP \E<3"  
'''''''''''''''''''''''''''''''''''''''''''''''' D27MT/=7  
Dim GetFlag Rem(提交方式) 'u{DFMB-A  
Dim ErrorSql Rem(非法字符) R87e"m/C%  
Dim RequestKey Rem(提交数据) m'i^BE  
Dim ForI Rem(循环标记) I DpW5Dc  
ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid~master~truncate~char~declare" Rem(每个敏感字符或者词语请使用半角 "~" 格开) Fb{kql=  
ErrorSql = split(ErrorSql,"~") fer~NlX  
If Request.ServerVariables("REQUEST_METHOD")="GET" Then v}AVIdR  
GetFlag=True 60 z =bd]  
Else I2PFJXp_]n  
GetFlag=False $pg1Av7l  
End If tX#8 G09G+  
If GetFlag Then )2 jBhT  
For Each RequestKey In Request.QueryString +kK6G#c  
For ForI=0 To Ubound(ErrorSql) EFb"{L  
If Instr(LCase(Request.QueryString(RequestKey)),ErrorSql(ForI))<>0 Then 1v^eXvY  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" ;K9rE3  
Response.End ^|1)6P}6  
End If 12,,gwh  
Next UI>?"b6 L  
Next + (|6Wv  
Else oj1,DU  
For Each RequestKey In Request.Form _ X* A  
For ForI=0 To Ubound(ErrorSql) gP?uLnzvi  
If Instr(LCase(Request.Form(RequestKey)),ErrorSql(ForI))<>0 Then y=)xo7 (  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" `Mp-4)mn  
Response.End .j)f'<;%  
End If B:Xmc,|,  
Next otgU6S7F  
Next y`OL^D4  
End If 06#40-   
%> 7pY7iR_  
------------------------------------------------------------------------------------------------------------------- 9AsK=/Buf  
eBW=bK~[VP  
第二个: }QqmDK.  
*To 5\|  
<% F};G&  
'防止注入 hh<Es|v  
dim qs,errc,iii a5AD$bP  
qs=lcase(request.servervariables("query_string")) Y([YDn  
'response.write(qs) T $ )dc^  
dim deStr(18) _v9P0W^.7  
deStr(0)="net user" ZCbnDj  
deStr(1)="xp_cmdshell" V@"Y"}4n4  
deStr(2)="/add" "me a*-XB  
deStr(3)="exec%20master.dbo.xp_cmdshell" jw"] U jub  
deStr(4)="net localgroup administrators" lp;= f  
deStr(5)="select" oHbG-p  
deStr(6)="count" Mh+ym]6\(k  
deStr(7)="asc" voHFU#Z$  
deStr(8)="char" GDW$R`2  
deStr(9)="mid" ny]R,D0  
deStr(10)="'" DVWqrK}q  
deStr(11)=":" Zh]FL8[ nc  
deStr(12)="""" i;XkH4E:)  
deStr(13)="insert" "/zIsn7  
deStr(14)="delete" DJmT]Q]o)  
deStr(15)="drop" b&V}&9'[M;  
deStr(16)="truncate" /T_ G9zc  
deStr(17)="from" 1[;~>t@C  
deStr(18)="%" LZB=vc|3/  
errc=false >;A7mi/  
for iii= 0 to ubound(deStr) u#l@:p  
if instr(qs,deStr(iii))<>0 then 2/c^3[ccR  
errc=true };:+0k/  
end if JP t=~e(  
next 1eZ759PoO  
if errc then *)jhhw=34  
Response.Write("对不起,非法URL地址请求!") d}.*hgk  
response.end RnX:T)+o  
end if n!B*n(;!u  
%> -$[o:dLO  
7jZ=+2  
  注入漏洞是最常见的漏洞,还有在线编辑漏洞,网上都有相关的防范方法。站点安全尤为重要,对站点的使用者有很大的影响,站点不安全,服务器就存在威胁!
分享到
只看该作者 1楼  发表于: 2009-04-10

这里是讨论邮件防病毒与防垃圾邮件的版区。

a}Dx"zl;  

 

快速回复
限60 字节
 
上一个 下一个