今天写一篇关于站点安全的文章。 P7^TRrMF��
很多人做网站,直接下源代码,比如动易,动网等等,除了论坛代码本身爆出的漏洞之外,站长本身不对论坛的一些敏感信息进行修改。别人只需要简单的分析一下整站系统的版本,就能知道整站源代码,然后就能知道默认管理员账号和登录连接,还有就是能知道数据库路径等等! et7�T)(k�0
所以我们下好整站系统之后就要相应的修改数据库路径以及管理账号和密码,同时要打好补丁! p�5D3J[?N�
关于自己亲手写的代码,要做好防注入,以下列出两个通用防注入代码: l"V8n BR`�
<% u+"hr"}${�
'''''''''''''''''''''''''''''''''''''''''''''''' �+�b:h�5,�
'ASP通用防注入代码 KH�� C�d�O
'您可以把该代码COPY到头文件中.也可以单独作 �x<j($�iv�
'为一个文件存在,每次调用使用 _1�6�&�K}<
'''''''''''''''''''''''''''''''''''''''''''''''' �^Ypb"W�x8
Dim GetFlag Rem(提交方式) Z�2Y583�D�
Dim ErrorSql Rem(非法字符) �1[,#@�!k@
Dim RequestKey Rem(提交数据) }tg:DG����
Dim ForI Rem(循环标记)
Y=#�mx3.�
ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid~master~truncate~char~declare" Rem(每个敏感字符或者词语请使用半角 "~" 格开) h3vm<��R�;
ErrorSql = split(ErrorSql,"~") �`�XRb:d^�
If Request.ServerVariables("REQUEST_METHOD")="GET" Then �?P�H}b?f4
GetFlag=True ^~hhdw�u3a
Else R&d�_�WB4w
GetFlag=False ��
�\1c`)�
End If :+X2>Lu$FA
If GetFlag Then =��Am*$wGI
For Each RequestKey In Request.QueryString pu
�m9x)y1
For ForI=0 To Ubound(ErrorSql) N*c?Er�@8U
If Instr(LCase(Request.QueryString(RequestKey)),ErrorSql(ForI))<>0 Then %d~9at�6-B
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" g#b�f��Y=C
Response.End )�l8�1�
R
End If �)y
[[S��e
Next :7A�a��uoI
Next ��jmwQc�&�
Else � ;�#Bh�_f
For Each RequestKey In Request.Form T��P�mZ/c^
For ForI=0 To Ubound(ErrorSql) Y_��TL�4��
If Instr(LCase(Request.Form(RequestKey)),ErrorSql(ForI))<>0 Then �T3PaG\5B�
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" /R+]}Lt~%*
Response.End �}<x�!�95
End If 0zk�
�T8'v
Next \q)1�TTnHS
Next _yXe���X
�
End If lQ(BEv"2G[
%> ��A�fbA.-�
------------------------------------------------------------------------------------------------------------------- ~dX�@5�+Gd
jL�[Is2<@
第二个: "=0�l�cb�C
3C5D~�9�v�
<% \$0�
x8B��
'防止注入 t+Q�|l&|0�
dim qs,errc,iii E6d8z=X�(
qs=lcase(request.servervariables("query_string")) [�n@
!=T��
'response.write(qs) 4wE��pyQ|L
dim deStr(18) #�+5mpDh�
deStr(0)="net user" ?5+K�HG�*)
deStr(1)="xp_cmdshell" E�* DVQ3�~
deStr(2)="/add" �D�-�\'P31
deStr(3)="exec%20master.dbo.xp_cmdshell" g�{f�>�j�d
deStr(4)="net localgroup administrators" U�Edl"FwM4
deStr(5)="select" J7a��K3�he
deStr(6)="count" �3qw�Yicq,
deStr(7)="asc" �5 <>agK]�
deStr(8)="char" �J�b-QP'$@
deStr(9)="mid" d$�C��|hT�
deStr(10)="'" kJ5�?BdvM&
deStr(11)=":"
?tM].��\�
deStr(12)="""" %��A Du[M.
deStr(13)="insert" �%BP)m(S7
deStr(14)="delete" ��j7|
\)x,
deStr(15)="drop" ,,��
-[P*@
deStr(16)="truncate" 8�f`b=r(a>
deStr(17)="from" dJ"
xW�;�"
deStr(18)="%" 7um�p:�|��
errc=false %emPSBf�@�
for iii= 0 to ubound(deStr) P+c��Fp7nC
if instr(qs,deStr(iii))<>0 then QR-R5�XNT[
errc=true R5~�vmT5W�
end if ff+9(P>��*
next 9Z�_O�Lai
if errc then b�"3T(#2<*
Response.Write("对不起,非法URL地址请求!") I�4D�lEX��
response.end ClVpb �e�w
end if u:�>�3j,Cs
%> z�k_hDhg&'
J��V*,�!
5
注入漏洞是最常见的漏洞,还有在线编辑漏洞,网上都有相关的防范方法。站点安全尤为重要,对站点的使用者有很大的影响,站点不安全,服务器就存在威胁!
