切换到宽版
  • 14436阅读
  • 1回复

站点安全简单防范 [复制链接]

上一主题 下一主题
 
只看楼主 倒序阅读 0楼  发表于: 2009-04-10
— 本帖被 鞋带总是开 从 Exchange中文站-灌水乐园 移动到本区(2009-07-11) —
今天写一篇关于站点安全的文章。 `rY2up#%  
  很多人做网站,直接下源代码,比如动易,动网等等,除了论坛代码本身爆出的漏洞之外,站长本身不对论坛的一些敏感信息进行修改。别人只需要简单的分析一下整站系统的版本,就能知道整站源代码,然后就能知道默认管理员账号和登录连接,还有就是能知道数据库路径等等! wz8PtfZ  
  所以我们下好整站系统之后就要相应的修改数据库路径以及管理账号和密码,同时要打好补丁! (n( fI f  
  关于自己亲手写的代码,要做好防注入,以下列出两个通用防注入代码: :Gqy>)CxX  
<% Nw J:!  
'''''''''''''''''''''''''''''''''''''''''''''''' DLE8+NV8   
'ASP通用防注入代码 z T%U!jqI  
'您可以把该代码COPY到头文件中.也可以单独作 iyx>q!P  
'为一个文件存在,每次调用使用 ] 7;f?+  
'''''''''''''''''''''''''''''''''''''''''''''''' e= P  
Dim GetFlag Rem(提交方式) ?^Hf Np9  
Dim ErrorSql Rem(非法字符) 8Q`WB0E<|  
Dim RequestKey Rem(提交数据) 5R MS(  
Dim ForI Rem(循环标记) m,L G =s  
ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid~master~truncate~char~declare" Rem(每个敏感字符或者词语请使用半角 "~" 格开) Aez2*g3  
ErrorSql = split(ErrorSql,"~") Hq&"+1F  
If Request.ServerVariables("REQUEST_METHOD")="GET" Then $.6K!x{(  
GetFlag=True 3Q}$fQ&S  
Else Q<tu)Qo  
GetFlag=False PnT)LqEF  
End If TrV Wv  
If GetFlag Then qf'm=efRyu  
For Each RequestKey In Request.QueryString {kI#A?M  
For ForI=0 To Ubound(ErrorSql) :y]Omp  
If Instr(LCase(Request.QueryString(RequestKey)),ErrorSql(ForI))<>0 Then Oq hD7 +  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" [ANuBNF  
Response.End nHFrG =o,  
End If K2_Qu't0$  
Next {xcZ*m!B  
Next K5Wg"^AHY/  
Else D.!~dyI.,$  
For Each RequestKey In Request.Form fCAiLkT,C[  
For ForI=0 To Ubound(ErrorSql) <M?:  
If Instr(LCase(Request.Form(RequestKey)),ErrorSql(ForI))<>0 Then PrF}a<:n:  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" dP$GThGl  
Response.End w [>;a.$  
End If ^:, l\Y  
Next p(SRjQt  
Next x90*yaw>h  
End If USJ- e  
%> i y YJR  
------------------------------------------------------------------------------------------------------------------- !%mAh81{&/  
qL5I#?OMkU  
第二个: z5\;OLJS,  
I 1d0iU  
<% &tR(n$ M@>  
'防止注入  84zTCX  
dim qs,errc,iii D,l,`jv*  
qs=lcase(request.servervariables("query_string")) }`VDD?M  
'response.write(qs) w-B^ [<  
dim deStr(18) 6+rlXmd  
deStr(0)="net user" !#ri5{od  
deStr(1)="xp_cmdshell" ]T! }XXK  
deStr(2)="/add" |C \}P  
deStr(3)="exec%20master.dbo.xp_cmdshell" W~T}@T:EN  
deStr(4)="net localgroup administrators" {X]R-1>  
deStr(5)="select" YO)$M-]>%J  
deStr(6)="count" Uh}seB#mJj  
deStr(7)="asc" EC&@I+'8Q  
deStr(8)="char" 2U kK0ls  
deStr(9)="mid" +H/jK@  
deStr(10)="'" vEM(bT=H  
deStr(11)=":" gB,G.QM*6  
deStr(12)="""" &>WWzikB*  
deStr(13)="insert" K?x,T8<aW  
deStr(14)="delete" /h2b;"  
deStr(15)="drop" :!&;p  
deStr(16)="truncate" \h<BDk*  
deStr(17)="from" XhzGLYb~I`  
deStr(18)="%" fpyz'   
errc=false zZ-wG  
for iii= 0 to ubound(deStr) ',7??Q7j&v  
if instr(qs,deStr(iii))<>0 then cN pe_LvW  
errc=true I<b?vR 'F  
end if "ceed)(:  
next u#7+U\  
if errc then _&3<6$}i"  
Response.Write("对不起,非法URL地址请求!") jo +w>  
response.end tL SN`6[:  
end if O^>jdl!TZ  
%> TjK{9A  
 oz'\q0  
  注入漏洞是最常见的漏洞,还有在线编辑漏洞,网上都有相关的防范方法。站点安全尤为重要,对站点的使用者有很大的影响,站点不安全,服务器就存在威胁!
分享到
只看该作者 1楼  发表于: 2009-04-10

这里是讨论邮件防病毒与防垃圾邮件的版区。

uNbH\qd=  

 

快速回复
限60 字节
 
上一个 下一个