切换到宽版
  • 13498阅读
  • 1回复

站点安全简单防范 [复制链接]

上一主题 下一主题
 
只看楼主 倒序阅读 0楼  发表于: 2009-04-10
— 本帖被 鞋带总是开 从 Exchange中文站-灌水乐园 移动到本区(2009-07-11) —
今天写一篇关于站点安全的文章。 /p0LtUMu  
  很多人做网站,直接下源代码,比如动易,动网等等,除了论坛代码本身爆出的漏洞之外,站长本身不对论坛的一些敏感信息进行修改。别人只需要简单的分析一下整站系统的版本,就能知道整站源代码,然后就能知道默认管理员账号和登录连接,还有就是能知道数据库路径等等! ^E 17_9?  
  所以我们下好整站系统之后就要相应的修改数据库路径以及管理账号和密码,同时要打好补丁! ;7k7/f:  
  关于自己亲手写的代码,要做好防注入,以下列出两个通用防注入代码: V&H8-,7z  
<% 8zWPb  
'''''''''''''''''''''''''''''''''''''''''''''''' Yur)_m  
'ASP通用防注入代码 d Al<'~g  
'您可以把该代码COPY到头文件中.也可以单独作 zP}v2  
'为一个文件存在,每次调用使用 Pltju4.:C  
'''''''''''''''''''''''''''''''''''''''''''''''' J *?_SnZ  
Dim GetFlag Rem(提交方式) RfG$Px '  
Dim ErrorSql Rem(非法字符) t8 "-zd8  
Dim RequestKey Rem(提交数据) GN c|)$  
Dim ForI Rem(循环标记) j:3Hm0W3  
ErrorSql = "'~;~and~(~)~exec~update~count~*~%~chr~mid~master~truncate~char~declare" Rem(每个敏感字符或者词语请使用半角 "~" 格开) VYo;[ue([  
ErrorSql = split(ErrorSql,"~") ^ZUgDQduc  
If Request.ServerVariables("REQUEST_METHOD")="GET" Then FaE orQ  
GetFlag=True Cl!jK^AbG  
Else a HL '(<  
GetFlag=False El s=:4  
End If W2qQKv  
If GetFlag Then V JL;+  
For Each RequestKey In Request.QueryString C/Bx_j((  
For ForI=0 To Ubound(ErrorSql) d|RmU/)  
If Instr(LCase(Request.QueryString(RequestKey)),ErrorSql(ForI))<>0 Then )fc"])&8  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" l0if#?4\r  
Response.End 8 { %9%{  
End If lG>e6[Wc  
Next 98'XSL|  
Next ]_8I_V cQ  
Else LW5ggU/  
For Each RequestKey In Request.Form 4CT9-2UC  
For ForI=0 To Ubound(ErrorSql) g}QTZT8  
If Instr(LCase(Request.Form(RequestKey)),ErrorSql(ForI))<>0 Then J6D$ i+  
response.write "<script>alert(""警告:\n请不要使用敏感字符"");location.href=""index.asp"";</script>" F5P{+z7  
Response.End hP8&n9o  
End If 5O ;^Mk|  
Next $ n[7  
Next O/oYaAlFF@  
End If DW&')gfQ  
%> G!%XQ\a!  
------------------------------------------------------------------------------------------------------------------- [Od9,XBa  
>[4|6k|\x  
第二个: u#k , G`  
gEHfsR=D6  
<% ^!_7L4&y  
'防止注入 .oN Sg.jG  
dim qs,errc,iii #-j! ;?  
qs=lcase(request.servervariables("query_string")) JBAK* g  
'response.write(qs) WV"QY/e3  
dim deStr(18) 3MJWCo-[  
deStr(0)="net user" n@[</E(  
deStr(1)="xp_cmdshell" }A/&]1GWk  
deStr(2)="/add" ]},Q`n>$  
deStr(3)="exec%20master.dbo.xp_cmdshell" Ia:puks=  
deStr(4)="net localgroup administrators" kTc5KHJ7  
deStr(5)="select" yc=#Jn?S  
deStr(6)="count" ![ID0}MjJ  
deStr(7)="asc" @k6}4O?{  
deStr(8)="char" e7qMt[.  
deStr(9)="mid" .eB"la|d  
deStr(10)="'" @i-@mxk6<  
deStr(11)=":" <JM%Kn )  
deStr(12)="""" )wv[!cYyW  
deStr(13)="insert" VQjFEJ  
deStr(14)="delete" .0W4Dp  
deStr(15)="drop" t0d '>  
deStr(16)="truncate" l!V| T?  
deStr(17)="from" -G#@BtB2+  
deStr(18)="%" 9~%]|_(  
errc=false LE80`t>M#  
for iii= 0 to ubound(deStr) )h_ 7 2  
if instr(qs,deStr(iii))<>0 then L00 ;rTs>  
errc=true 42wC."A  
end if }SN44 di(  
next fUKdC \WL  
if errc then 8;f<qu|w  
Response.Write("对不起,非法URL地址请求!") `+Z#*lj|@  
response.end qS}RFM5|  
end if Y_>-p(IH  
%> N<"6=z@w+  
mW0&uSM D  
  注入漏洞是最常见的漏洞,还有在线编辑漏洞,网上都有相关的防范方法。站点安全尤为重要,对站点的使用者有很大的影响,站点不安全,服务器就存在威胁!
分享到
只看该作者 1楼  发表于: 2009-04-10

这里是讨论邮件防病毒与防垃圾邮件的版区。

HT=Am  

 

快速回复
限60 字节
 
上一个 下一个