·	没有路由密码权限时的鸽	08-23	·	上网安全 Vista自我防范	10-11
·	让濒临崩溃的Windows XP	10-11	·	有备无患，快速自制救急	10-11
·	要你好看!Windows看图工	10-11	·	空间赞助网提供不同类型	10-11
·	讨论net.exe和net1.exe的	10-10	·	让3389远程桌面传输更通	10-10
·	巧妙入侵渗透赌博站	10-10	·	Aspx空间扫权限工具	10-10
·	Windows2003最新提权工具	10-10	·	易淘乐提供100M免费全能	10-10
·	系统开机密码忘了不着急	10-09	·	中意网络提供免费100M免	10-09
·	与众不同 Windows XP开始	10-08	·	让桌面图标翻跟斗在XP上	10-08
·	上海宽元站长资助计划-提	10-08	·	个性化Windows XP的任务	10-07
·	趣盘提供3G免费网络硬盘	10-07	·	秀山热线提供200MB免费全	10-07
·	一次艰辛的提权过程	10-06	·	成功入侵IT大卖场的渗透	10-06
·	mysqlhack- MYSQL利用工	10-06	·	lanker一句话PHP后门客户	10-06
·	WIXI提供3G免费多媒体网	10-06	·	新人网络提供100M/ftp免	10-06
·	如何利用QQ带来高流量	10-05	·	UuShare提供免费网络文件	10-05

[推荐]ASP登陆验证页应做的安全问题

热荐 ★★★★★

ASP登陆验证页应做的安全问题

文章整理发布：黑客风云文章来源：www.05112.com 更新时间：2007-8-25 9:35:24

利用非法字符溢出漏洞攻击网站简单的应对方法

SQL注入式攻击是利用是指利用设计上的漏洞，在目标服务器上运行Sql命令以及进行其他方式的攻击动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。
比如：
      如果你的查询语句是
select * from admin where username='"&user&"' and password='"&pwd&"'"
      那么，如果我的用户名是：
1' or '1'='1
      那么，你的查询语句将会变成：

select * from admin where username='1 or '1'='1' and password='"&pwd&"'"
      这样你的查询语句就通过了，从而就可以进入你的管理界面。
      所以防范的时候需要对用户的输入进行检查。特别式一些特殊字符，比如单引号，双引号，分号，逗号，冒号，连接号等进行转换或者过滤。
      需要过滤的特殊字符及字符串有：

net user
      xp_cmdshell
      /add
      exec master.dbo.xp_cmdshell
      net localgroup administrators
      select
      count
      Asc
      char
      mid
      '
      :
      "
      insert
      delete from
      drop table
      update
      truncate
      from
      %
      下面是我写的两种关于解决注入式攻击的防范代码，供大家学习参考！

js版的防范SQL注入式攻击代码～：

以下是引用片段：
      <script language="javascript">
      
      <script>

asp版的防范SQL注入式攻击代码～：

以下是引用片段：
     <%
      On Error Resume Next
      Dim strTemp

      If LCase(Request.ServerVariables("HTTPS")) = "off" Then
      strTemp = "http://"
      Else
      strTemp = "https://"
      End If

strTemp = strTemp & Request.ServerVariables("SERVER_NAME")
If Request.ServerVariables("SERVER_PORT") <> 80 Then strTemp = strTemp & ":" & Request.ServerVariables("SERVER_PORT")

strTemp = strTemp & Request.ServerVariables("URL")

If Trim(Request.QueryString) <> "" Then strTemp = strTemp & "?" & Trim(Request.QueryString)

strTemp = LCase(strTemp)

      If Instr(strTemp,"select%20") or Instr(strTemp,"insert%20") or Instr(strTemp,"delete%20from") or Instr(strTemp,"count(") or Instr(strTemp,"drop%20table") or Instr(strTemp,"update%20") or Instr(strTemp,"truncate%20") or Instr(strTemp,"asc(") or Instr(strTemp,"mid(") or Instr(strTemp,"char(") or Instr(strTemp,"xp_cmdshell") or Instr(strTemp,"exec%20master") or Instr(strTemp,"net%20localgroup%20administrators") or Instr(strTemp,":") or Instr(strTemp,"net%20user") or Instr(strTemp,"'") or Instr(strTemp,"%20or%20") then
      Response.Write "<script language='javascript'>"
      Response.Write "alert('非法地址！！');"
      Response.Write "location.href='error.asp';"
      Response.Write "<script>"
      End If
      %>

以下是较为简单的防范方法，这些都是大家比较熟悉的方法，我就是转帖过来。希望能给你一点帮助~　　
主要是针对数字型的变量传递：

以下是引用片段：

id = Request.QueryString("id")
      If Not(isNumeric(id)) Then
      Response.Write "非法地址~"
      Response.End
      End If

上一页 [1] [2]

文章录入：cainiaowang 责任编辑：cainiaowang

上一篇文章：防黑主要是日常维护的5个步骤总结

下一篇文章： ASP木马Webshell安全解决方案

【字体：小大】

中介交易区

阻止Alert攻击代码	12-14
Arp反欺骗策略	11-29
如何杜绝iframe挂马	11-29
ARP欺骗解决终极办法(传说中的虚	11-06
打造抵御SQL注入攻击的MS SQL服务	10-23
ASP木马Webshell安全解决方案	09-22
ASP登陆验证页应做的安全问题	08-25
防黑主要是日常维护的5个步骤总结	08-25
Windows Server2003安全配置整理	08-20
安全虚拟主机配置	07-18
ASP木马Webshell的安全防范解决办	06-19
CC DDOS攻击器的原理及防范方法	06-13