今天写一篇关于站点安全的文章。 ]a*26AbU�+
很多人做网站,直接下源代码,比如动易,动网等等,除了论坛代码本身爆出的漏洞之外,站长本身不对论坛的一些敏感信息进行修改。别人只需要简单的分析一下整站系统的版本,就能知道整站源代码,然后就能知道默认管理员账号和登录连接,还有就是能知道数据库路径等等! �'�f���zJw
所以我们下好整站系统之后就要相应的修改数据库路径以及管理账号和密码,同时要打好补丁! j!0-�3Y
Kv
关于自己亲手写的代码,要做好防注入,以下列出两个通用防注入代码: <5h}\�5#<j
<% m>!o�
Yy_
'''''''''''''''''''''''''''''''''''''''''''''''' $0~1;@`rQ6
'ASP通用防注入代码 &a\�G,M��a
'您可以把该代码COPY到头文件中.也可以单独作 !#�
�xi^I�
'为一个文件存在,每次调用使用 y�e}86�{l�
'''''''''''''''''''''''''''''''''''''''''''''''' ?fc<�3q"��
Dim GetFlag Rem(提交方式) �{8%KO1xB�
Dim ErrorSql Rem(非法字符) 9N�z}'a;?>
Dim RequestKey Rem(提交数据) cb. -Al�qQ
Dim ForI Rem(循环标记) �"N}M�hcdS
ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid~master~truncate~char~declare" Rem(每个敏感字符或者词语请使用半角 "~" 格开) Dw�TVo�CC�
ErrorSql = split(ErrorSql,"~") M3JV^{O/DV
If Request.ServerVariables("REQUEST_METHOD")="GET" Then `:�0A
uw9h
GetFlag=True C8��(0|XX
Else �/7.//�klN
GetFlag=False �+*e��Vi3�
End If {9Q�**U`�w
If GetFlag Then D�oI�Cf1�
For Each RequestKey In Request.QueryString w`=XoYQl~*
For ForI=0 To Ubound(ErrorSql) �s�4=EyBI
If Instr(LCase(Request.QueryString(RequestKey)),ErrorSql(ForI))<>0 Then �gS|6�,A�9
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" Pb�
�V1FB_
Response.End �$o�)}@�TC
End If �1@~ 1vsJ�
Next }���p8i�q�
Next mK^E@ux�N�
Else �}`76yH�^c
For Each RequestKey In Request.Form ScT{Tb]9bt
For ForI=0 To Ubound(ErrorSql) PHH,vO�[eO
If Instr(LCase(Request.Form(RequestKey)),ErrorSql(ForI))<>0 Then 6�"r _Y�7%
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" UMP�W�<>�z
Response.End 2';{o=T�XV
End If UdpuQzV<4`
Next [l~G7��u.d
Next 4P7r\�h�s�
End If <e@4;Z(h04
%> �q�$<�VLrx
------------------------------------------------------------------------------------------------------------------- a�`U/|[JM�
scE#&OWF�%
第二个: h=k��C3ot\
|#(y?! A�^
<% �dI%N�wl%
'防止注入 o��w'CwOj$
dim qs,errc,iii x�-q_s�Z^8
qs=lcase(request.servervariables("query_string")) $L�'[�_J��
'response.write(qs) 5n����e�&6
dim deStr(18) ��Ju"c!vu~
deStr(0)="net user" xd�4~[n\hm
deStr(1)="xp_cmdshell" �&h�M7y��7
deStr(2)="/add" �h
ij
9r z
deStr(3)="exec%20master.dbo.xp_cmdshell" bq}�`jP~#
deStr(4)="net localgroup administrators" '�XOWSx�;Y
deStr(5)="select" �"�_+8z_��
deStr(6)="count" �E$v�!Z;�A
deStr(7)="asc" d-�H03F@N�
deStr(8)="char" �>�Yc�aFnY
deStr(9)="mid" /�%b��nG(4
deStr(10)="'" aR��)w~s\6
deStr(11)=":" E>u�� U6#v
deStr(12)="""" /.t�1Ow��
deStr(13)="insert" }Am5b@g"$Y
deStr(14)="delete" '�s
��a>�G
deStr(15)="drop" \�[A�JWyP�
deStr(16)="truncate" 5YgT�*}L+,
deStr(17)="from" NB�w����{�
deStr(18)="%" xi�)$t#K"
errc=false |[
�)pQG�w
for iii= 0 to ubound(deStr) !-J�vVdM;(
if instr(qs,deStr(iii))<>0 then +i�N��p�8�
errc=true dleCh+n�y?
end if �qsYg�
�%Z
next vm�=d?*c�R
if errc then ZsP>�CELm@
Response.Write("对不起,非法URL地址请求!") �C�SBDS�z
response.end NLt"��yD3t
end if 0W)|�n9���
%> �G#�1W":|`
l.Bi�E<��&
注入漏洞是最常见的漏洞,还有在线编辑漏洞,网上都有相关的防范方法。站点安全尤为重要,对站点的使用者有很大的影响,站点不安全,服务器就存在威胁!
