目前的大多数企业网站都存在着注入漏洞,这些漏洞都是由于程序员的思维和设计所遗留的问题。
国内的黑客知识已经平民化,刚学不久的人便拿着 啊D 明小子之类的工具 利用googlehack 或者 baiduhack 来寻找注入目标。
所以说,大多数企业网站都或多或少的处于被注入的情况,给企业带来一些负面影响。现提供3种ASP防注入代码,如果这些措施还不能解决您的困扰,请联系我们的工程师。
解决方案:
那么我们怎么防注入呢?程序如下加入到asp或html或php或cgi里面都可以,经过测试。加入如 top.asp文件中开头。
方法一:
<%if session("username"="" or session("userkey"="" then
response.redirect "../../"
end if
%>
(说明:只要有用户注入则跳转到../../目录,呵呵,看你怎么给我注入)
方法二:
<% server_v1=Cstr(Request.ServerVariables("HTTP_REFERER")
server_v2=Cstr(Request.ServerVariables("SERVER_NAME")
if mid(server_v1,8,len(server_v2))<>server_v2 then
response.write "
"
response.write ""
response.write "你提交的路径有误,禁止从站点外部提交数据请不要乱该参数!"
response.write ""
response.end
end if
%>
方法三:
<% dim From_url,Serv_url
From_url = Cstr(Request.ServerVariables("HTTP_REFERER")
Serv_url = Cstr(Request.ServerVariables("SERVER_NAME")
if mid(From_url,8,len(Serv_url)) <> Serv_url then
response.write "NO"
response.redirect("../"
response.end
end if
%>
SQL防注入函数
<% '//SQL防注入函数,参数UnSql_Words为传入的变量或字串,UnSql_Class为类型 1数字型,2字符型 Function UnSql(UnSql_Words,UnSql_Class) If UnSql_Class = 1 Then If IsNumeric(UnSql_Words) = False Then Response.Write "" Response.Write "服务器、网站安全维护,我信任 - 中安互联!" Response.Write " [BY 小白,QQ 196900006]" Response.End() End If Else UnSql_Words = Replace(UnSql_Words,"'","") UnSql_Words = Replace(UnSql_Words,";","") UnSql_Words = Replace(UnSql_Words,"=","") UnSql_Words = Replace(UnSql_Words,">","") UnSql_Words = Replace(UnSql_Words,"<","") End If UnSql = UnSql_Words End Function %>
本文来源于服务器维护|网站维护|西安内网建设|西安内网维护|网站清马|服务器入侵检测|网站优化|中安互联 http://www.52zlw.com/ , 原文地址:http://www.52zlw.com/faq/15/15/15.html
国内的黑客知识已经平民化,刚学不久的人便拿着 啊D 明小子之类的工具 利用googlehack 或者 baiduhack 来寻找注入目标。
所以说,大多数企业网站都或多或少的处于被注入的情况,给企业带来一些负面影响。现提供3种ASP防注入代码,如果这些措施还不能解决您的困扰,请联系我们的工程师。
解决方案:
那么我们怎么防注入呢?程序如下加入到asp或html或php或cgi里面都可以,经过测试。加入如 top.asp文件中开头。
方法一:
<%if session("username"="" or session("userkey"="" then
response.redirect "../../"
end if
%>
(说明:只要有用户注入则跳转到../../目录,呵呵,看你怎么给我注入)
方法二:
<% server_v1=Cstr(Request.ServerVariables("HTTP_REFERER")
server_v2=Cstr(Request.ServerVariables("SERVER_NAME")
if mid(server_v1,8,len(server_v2))<>server_v2 then
response.write "
"
response.write ""
response.write "你提交的路径有误,禁止从站点外部提交数据请不要乱该参数!"
response.write ""
response.end
end if
%>
方法三:
<% dim From_url,Serv_url
From_url = Cstr(Request.ServerVariables("HTTP_REFERER")
Serv_url = Cstr(Request.ServerVariables("SERVER_NAME")
if mid(From_url,8,len(Serv_url)) <> Serv_url then
response.write "NO"
response.redirect("../"
response.end
end if
%>
SQL防注入函数
<% '//SQL防注入函数,参数UnSql_Words为传入的变量或字串,UnSql_Class为类型 1数字型,2字符型 Function UnSql(UnSql_Words,UnSql_Class) If UnSql_Class = 1 Then If IsNumeric(UnSql_Words) = False Then Response.Write "" Response.Write "服务器、网站安全维护,我信任 - 中安互联!" Response.Write " [BY 小白,QQ 196900006]" Response.End() End If Else UnSql_Words = Replace(UnSql_Words,"'","") UnSql_Words = Replace(UnSql_Words,";","") UnSql_Words = Replace(UnSql_Words,"=","") UnSql_Words = Replace(UnSql_Words,">","") UnSql_Words = Replace(UnSql_Words,"<","") End If UnSql = UnSql_Words End Function %>
本文来源于服务器维护|网站维护|西安内网建设|西安内网维护|网站清马|服务器入侵检测|网站优化|中安互联 http://www.52zlw.com/ , 原文地址:http://www.52zlw.com/faq/15/15/15.html
