站点安全简单防范 [复制链接]

今天写一篇关于站点安全的文章。 dEor+5}  
  很多人做网站，直接下源代码，比如动易，动网等等，除了论坛代码本身爆出的漏洞之外，站长本身不对论坛的一些敏感信息进行修改。别人只需要简单的分析一下整站系统的版本，就能知道整站源代码，然后就能知道默认管理员账号和登录连接，还有就是能知道数据库路径等等！ Q
8h=2YL  
  所以我们下好整站系统之后就要相应的修改数据库路径以及管理账号和密码，同时要打好补丁！ ,4}s 1J#  
  关于自己亲手写的代码，要做好防注入，以下列出两个通用防注入代码： 3M'Y'Szm  
<% 2P{! n#"  
'''''''''''''''''''''''''''''''''''''''''''''''' y+izC+  
'ASP通用防注入代码 7t78=wpLc  
'您可以把该代码COPY到头文件中.也可以单独作 ,S~A]uH'  
'为一个文件存在,每次调用使用 .TNJuuO  
''''''''''''''''''''''''''''''''''''''''''''''''  ZS@R?  
Dim GetFlag Rem(提交方式) >feeVk  
Dim ErrorSql Rem(非法字符) JD AX^]  
Dim RequestKey Rem(提交数据) n@S|^cH  
Dim ForI Rem(循环标记) gEq6[G  
ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid~master~truncate~char~declare" Rem(每个敏感字符或者词语请使用半角 "~" 格开) ?}jjBJ&  
ErrorSql = split(ErrorSql,"~") =,08D^xY  
If Request.ServerVariables("REQUEST_METHOD")="GET" Then B* ^QTJ  
GetFlag=True L:jv%;DM  
Else F$9+WS`c  
GetFlag=False 5"+;}E|q  
End If h*sL' fJ]  
If GetFlag Then 3ZvQUH/{W  
For Each RequestKey In Request.QueryString qSaCl6[Do  
For ForI=0 To Ubound(ErrorSql) ZJ[p7XP  
If Instr(LCase(Request.QueryString(RequestKey)),ErrorSql(ForI))<>0 Then d ;,C[&  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" "c![s%  
Response.End k_Lv\'Ok  
End If LrV|Y~  
Next t1G2A`  
Next ;)sC{ "Jb  
Else rKl
  
For Each RequestKey In Request.Form SK_N|X].  
For ForI=0 To Ubound(ErrorSql) ~c\2'  
If Instr(LCase(Request.Form(RequestKey)),ErrorSql(ForI))<>0 Then L_!}R  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" -&QpQ7q1  
Response.End SV^[)p)  
End If Xj:\B] v]  
Next ytV4qU82G  
Next u0$}VO5/a  
End If D@k#'KU  
%> P{,=a]x,mz  
------------------------------------------------------------------------------------------------------------------- "<"s&ws;k  
KnK\X>:  
第二个： j3>&Su>H4  
yPH5/
5;,  
<% j'UWgwB  
'防止注入 ,ZnL38GW  
dim qs,errc,iii q-e3;$  
qs=lcase(request.servervariables("query_string")) ={{q_G\WD  
'response.write(qs) t /lU
*  
dim deStr(18) 3p'(E\V
J  
deStr(0)="net user" Owh:(E J"d  
deStr(1)="xp_cmdshell" Cn>t"#zs!~  
deStr(2)="/add" a JQ_V  
deStr(3)="exec%20master.dbo.xp_cmdshell" %
B| Ca&  
deStr(4)="net localgroup administrators" X"T)X#:)  
deStr(5)="select" VxU{ZD~<Z"  
deStr(6)="count" 4c.!^EiV  
deStr(7)="asc" 5L\Im ^  
deStr(8)="char" / 6DW+!  
deStr(9)="mid" i^rHZmT  
deStr(10)="'" |Lc.XxBkc  
deStr(11)=":" 8=mx5Gwz-  
deStr(12)=""""
ZPHatC  
deStr(13)="insert"  x![ut  
deStr(14)="delete" }w)wW1&  
deStr(15)="drop" CR-2>,*a9  
deStr(16)="truncate" "h&[6-0'  
deStr(17)="from" _~!c%_  
deStr(18)="%" *C^T CyBK;  
errc=false ^5-SL?E  
for iii= 0 to ubound(deStr) 6{ pg^K  
if instr(qs,deStr(iii))<>0 then BqOMg$<\[  
errc=true T`Xz*\}Zb  
end if ZrWA,~;  
next a3:1`c/~\  
if errc then gyCXv0*z  
Response.Write("对不起，非法URL地址请求!") ,4(m.P10  
response.end rwAycW7  
end if Q*/jQC  
%> >a: 6umY  
MhN8'y(  
  注入漏洞是最常见的漏洞，还有在线编辑漏洞，网上都有相关的防范方法。站点安全尤为重要，对站点的使用者有很大的影响，站点不安全，服务器就存在威胁！

这里是讨论邮件防病毒与防垃圾邮件的版区。

No]#RvEd3