欢迎来到天天文库
浏览记录
ID:53036708
大小:54.50 KB
页数:7页
时间:2020-03-31
《万能Asp防注入代码-拒绝攻击和注入漏洞.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、万能Asp防注入代码-拒绝攻击,addcomment.aspAspcms注入漏洞万能Asp防注入代码-拒绝攻击,addcomment.aspAspcms注入漏洞 放入conn.asp中(/plug/comment/addcomment.asp)(拒绝攻击万能Asp防注入代码)第一种: squery=lcase(Request.ServerVariables("QUERY_STRING"))sURL=lcase(Request.ServerVariables("HTTP_HOST")) SQL_injdata=":
2、;
3、>
4、<
5、--
6、sp_
7、xp_
8、
9、/
10、dir
11、cmd
12、^
13、(
14、)
15、+
16、$
17、'
18、copy
19、format
20、and
21、exec
22、insert
23、select
24、delete
25、update
26、count
27、*
28、%
29、chr
30、mid
31、master
32、truncate
33、char
34、declare" SQL_inj=split(SQL_Injdata,"
35、") ForSQL_Data=0ToUbound(SQL_inj)ifinstr(squery&sURL,Sql_Inj(Sql_DATA))>0ThenResponse.Write"SQL防注入系统"Response.endendifnext 第二种:
36、 SQL_injdata=":
37、;
38、>
39、<
40、--
41、sp_
42、xp_
43、/
44、dir
45、cmd
46、^
47、(
48、)
49、+
50、$
51、'
52、copy
53、format
54、and
55、exec
56、insert
57、select
58、delete
59、update
60、count
61、*
62、%
63、chr
64、mid
65、master
66、truncate
67、char
68、declare" SQL_inj=split(SQL_Injdata,"
69、")IfRequest.QueryString<>""ThenForEachSQL_GetInRequest.QueryStringForSQL_Data=0ToUbound(SQL_in
70、j)ifinstr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))>0ThenResponse.Write"SQL通用防注入系统"Response.endendifnextNextEndIf IfRequest.Form<>""ThenForEachSql_PostInRequest.FormForSQL_Data=0ToUbound(SQL_inj)ifinstr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0ThenResponse.Write"SQL通用
71、防注入系统"Response.endendifnextnextendif 一般这种问题是网站有漏洞,系统漏洞或者SQL注入漏洞,或者上传文件漏洞,如何防止网页被修改加入脚本病毒? 爱牛网络将这个问题总结分享如下. 1、简单的补救措施:在服务器IIS中,把所有的ASP,HTML文件的属性设置为Everyone只读(一般是IUSR_),只把数据库的权限设置成可写,注意:如果你没有服务器的管理权限,那么登录上的空间ftp,选中那些不需要写入的文件或文件夹,右键点击-属性:把其中的三组写入权限都取消,但如果你有ACCESS数据库,要把数据库设成可写,不然
72、读数据时会出错。 2、先把恶意代码删掉(替换掉),然后把网站目录下的所有文件全部用杀软杀下,然后一个一个检查下是否存在后门. 3、在你的程序里写上以下防注入函数 onerrorresumenext '这行代码放到conn.asp的第一行。 '防止注入dimqs,errc,iiiqs=request.servervariables("query_string")'response.write(qs)dimdeStr(18)deStr(0)="netuser"deStr(1)="xp_cmdshell"deStr(2)="/add"deStr(3)
73、="exec%20master.dbo.xp_cmdshell"deStr(4)="netlocalgroupadministrators"deStr(5)="select"deStr(6)="count"deStr(7)="asc"deStr(8)="char"deStr(9)="mid"deStr(10)="'"deStr(11)=":"deStr(12)=""""deStr(13)="insert"deStr(14)="delete"deStr(15)="drop"deStr(16)="truncate"deStr(17)="from"de
74、Str(18)="%"errc=falseforiii=0toubound(deStr)ifinstr(qs,deStr(iii))<>
此文档下载收益归作者所有
