切换到宽版
  • 14403阅读
  • 1回复

站点安全简单防范 [复制链接]

上一主题 下一主题
 
只看楼主 倒序阅读 0楼  发表于: 2009-04-10
— 本帖被 鞋带总是开 从 Exchange中文站-灌水乐园 移动到本区(2009-07-11) —
今天写一篇关于站点安全的文章。 3eTrtCe$  
  很多人做网站,直接下源代码,比如动易,动网等等,除了论坛代码本身爆出的漏洞之外,站长本身不对论坛的一些敏感信息进行修改。别人只需要简单的分析一下整站系统的版本,就能知道整站源代码,然后就能知道默认管理员账号和登录连接,还有就是能知道数据库路径等等! ^IGyuj0]jG  
  所以我们下好整站系统之后就要相应的修改数据库路径以及管理账号和密码,同时要打好补丁! ]G0dS Fh{j  
  关于自己亲手写的代码,要做好防注入,以下列出两个通用防注入代码: Ka]@[R6e  
<% |qlS6Aln  
'''''''''''''''''''''''''''''''''''''''''''''''' nG"n-$A?<  
'ASP通用防注入代码 5r4gmy>  
'您可以把该代码COPY到头文件中.也可以单独作 "#pzZ)Zh  
'为一个文件存在,每次调用使用 )4ilCS&  
'''''''''''''''''''''''''''''''''''''''''''''''' HK0::6n{  
Dim GetFlag Rem(提交方式) w(/DTQc~d  
Dim ErrorSql Rem(非法字符) ejklpa ./  
Dim RequestKey Rem(提交数据) ]jc_=I6)  
Dim ForI Rem(循环标记) 4TUtY:  
ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid~master~truncate~char~declare" Rem(每个敏感字符或者词语请使用半角 "~" 格开) Kej|1g1f  
ErrorSql = split(ErrorSql,"~") Ad;S=h8:  
If Request.ServerVariables("REQUEST_METHOD")="GET" Then !7*(!as  
GetFlag=True JoCA{Fa}  
Else 't( }Rq@  
GetFlag=False _1sMYhI  
End If b,sGq  
If GetFlag Then dk_,YU'z  
For Each RequestKey In Request.QueryString hOPe^e"  
For ForI=0 To Ubound(ErrorSql) !:"-:O}>=,  
If Instr(LCase(Request.QueryString(RequestKey)),ErrorSql(ForI))<>0 Then W|d pFh`  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" Sty! atEWT  
Response.End CE#\Roi x)  
End If PK6*}y  
Next s>|Z7[*  
Next ^/>Wr'w   
Else |3{+6cg  
For Each RequestKey In Request.Form %bP~wl~  
For ForI=0 To Ubound(ErrorSql) yGiP[d|tRc  
If Instr(LCase(Request.Form(RequestKey)),ErrorSql(ForI))<>0 Then wE$ s'e  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" f=ac I|w  
Response.End gYatsFyL  
End If Gg%tVQu  
Next c>ad0xce6  
Next (kIz  
End If 7DtIVMiK  
%> dhHEE|vrz  
------------------------------------------------------------------------------------------------------------------- lC#RNjDp/~  
Di*]ab  
第二个: u7;`4P:o@  
N = LM?(H  
<% ~G>jw"r  
'防止注入 ImIqD&a-h  
dim qs,errc,iii 47IY|Jdz  
qs=lcase(request.servervariables("query_string")) ^qxdmMp)l  
'response.write(qs) yl-fbYH  
dim deStr(18) 5Yi Z-CQ>  
deStr(0)="net user" upypxC  
deStr(1)="xp_cmdshell" Ge~q3"  
deStr(2)="/add" jfUJ37zNZr  
deStr(3)="exec%20master.dbo.xp_cmdshell" lhqQ CV  
deStr(4)="net localgroup administrators" akT|Y4KxD  
deStr(5)="select" ^m*3&x8  
deStr(6)="count" ]gu1#  
deStr(7)="asc" Ic'Q5kfM  
deStr(8)="char" -(*nSD9  
deStr(9)="mid" L[9OVD  
deStr(10)="'" v&fGCD\R  
deStr(11)=":" naz:A  
deStr(12)="""" qZaO&"q  
deStr(13)="insert" <cYp~e%xIw  
deStr(14)="delete" D?e"U_  
deStr(15)="drop" McjS)4j&.  
deStr(16)="truncate" 0G5'Y;8  
deStr(17)="from" .nEs:yn  
deStr(18)="%" `=79i$,,t  
errc=false RqXi1<6j#  
for iii= 0 to ubound(deStr) 8xgJSk  
if instr(qs,deStr(iii))<>0 then p8=|5.  
errc=true 9\ v.qo.  
end if k6 @b|  
next _J,xT  
if errc then ~r<p@k=.#0  
Response.Write("对不起,非法URL地址请求!") .Y1bY: =  
response.end 9e~WK720=  
end if t5paY w-b  
%> nbGoJC:U  
ga-{!$b*  
  注入漏洞是最常见的漏洞,还有在线编辑漏洞,网上都有相关的防范方法。站点安全尤为重要,对站点的使用者有很大的影响,站点不安全,服务器就存在威胁!
分享到
只看该作者 1楼  发表于: 2009-04-10

这里是讨论邮件防病毒与防垃圾邮件的版区。

xW>ySEf  

 

快速回复
限60 字节
 
上一个 下一个