入侵网站学习_程序篇_输入参数漏洞(2)

真没想到一个小小的输入参数的漏洞,居然可造成整个网站的不安全,甚至是破坏性的。

其实要解决这个问题也真是非常的简单,只要对输入的参数进行一下判断就可以了。如果是字符型参数,用checkstr(自写)将其中的'改换为'';如果是数值型,用isnumeric(系统自带)来判断,返回True即为判断正确,不过有时会出错,所以我用isinteger(自写)来判断。只要对每个有输入参数的页面都进行一下判断,那么对于SQL注入这种黑客侵入方法来说,你的网站就是安全的。

51检查出来的那些页面,我分析了一下。1,为了节省时间,直接拿网上现成的程序来改,而此程序有些漏洞,所以...;2.自己写的页面,以前也有这些认识,但认识不深。有些页面加了判断,有些页面就没有,所以...

即然有了工具,就随便抄几个网站吧,声明:我可没用他来做坏事!没想到,几乎每三个网站就会有一个网站有此漏洞,短短10分钟,就抄出3个网站来了。而且其中是一个著名的大型网站,不过其密码用md5加密了,而且管理登陆页也找不到。

因此,总结了一些经验,也许对以后的网站开发有点儿作用。
1.每个带输入参数的页面,必须对输入参数进行判断。
2.密码用MD5加密,基本上来说,只要是6位以上,有大小写的密码,是不可能被解密的。如果是在6位以下的简单密码,用MD5暴力破解器可在很短的时间内破解出来。所以设密码一定要慎重,尤其是管理员密码,直接关系到网站的安全。
3.如果使用sqlserver做为网站数据库,不要用sa来连接。要新建一个用户来连接,防止SQL注入时通过xp_cmdshell等sqlserver内置的存储过程来创建服务器管理组的用户。
4.管理区目录不要和一般的页面程序放在一起,最好能取个他人猜不到的目录,或者进行IP判断(只允许你公司静态IP或者动态IP段访问)。

就这么多了,以后想到再补充。

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

相关推荐


数组的定义 Dim MyArray MyArray = Array(1‚5‚123‚12‚98) 可扩展数组 Dim MyArray() for i = 0 to 10
\'参数: \'code:要检测的代码 \'leixing:html或者ubb \'nopic:代码没有图片时默认值
演示效果: 代码下载: 点击下载
环境:winxp sp2 ,mysql5.0.18,mysql odbc 3.51 driver 表采用 myisam引擎。access 2003  不同的地方: 
其实说起AJAX的初级应用是非常简单的,通俗的说就是客户端(javascript)与服务端(asp或php等)脚本语言的数据交互。
<% ’判断文件名是否合法 Function isFilename(aFilename)  Dim sErrorStr,iNameLength,i  isFilename=TRUE
在调用的时候加入判断就行了. {aspcms:navlist type=0 } {if:[navlist:i]<6} < li><a href=\"[navlist:link]\" target=\"_top\">[navlist:name]</a> </li>
导航栏调用 {aspcms:navlist type=0}     <a href=\"[navlist:link]\">[navlist:name]</a>
1.引入外部文件: {aspcms:template src=infobar.html} 2.二级下拉菜单 <ul class=\"nav\">
downpic.asp页面:  <!DOCTYPE html PUBLIC \"-//W3C//DTD XHTML 1.0 Transitional//EN\" \"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd\">
Cookies是数据包,可以让网页具有记忆功能,在某台电脑上记忆一定的信息。Cookies的工作原理是,第一次由服务器端写入到客户端的系统中。以后每次访问这个网页,都是先由客户端将Cookies发送到服务器端,再由服务器端
很简单,在需要调用的地方用这种模式 {aspcms:content sort={aspcms:sortid} num=17 order=isrecommend}
网站系统使用ACCESS数据库时,查询时怎么比较日期和时间呢?为什么常常比较出来却是错误的呢?比如早的日期比迟的日期大?
str1=\"1235,12,23,34,123,21,56,74,1232\" str2=\"12\" 问题:如何判断str2是否存在str1中,要求准确找出12,不能找出str1中的1235、123、1232
实例为最新版本的kindeditor 4.1.5. 主要程序: <% Const sFileExt=\"jpg|gif|bmp|png\" Function ReplaceRemoteUrl(sHTML,sSaveFilePath,sFileExt)
用ASP实现搜索引擎的功能是一件很方便的事,可是,如何实现类似3721的智能搜索呢?比如,当在搜索条件框内输入“中国人民”时,自动从中提取“中国”、“人民”等关键字并在数据库内进行搜索。看完本文后,你就可以发
首先感谢ASPCMS官网注册用户xing0203的辛苦付出!一下为久忆YK网络转载原创作者xing0203的文章内容!为了让小白更加清楚的体验替换过程,久忆YK对原文稍作了修改!
数据库连接: <% set conn=server.createobject(\"adodb.connection\") conn.open \"driver={microsoft access driver (*.mdb)};dbq=\"&server.mappath(\"数据库名\")
第1步:修改plugins下的image/image.js 找到\'<input type=\"button\" class=\"ke-upload-button\" value=\"\' + lang.upload + \'\" />\',
asp函数: <% Const sFileExt=\"jpg|gif|bmp|png\" Function ReplaceRemoteUrl(sHTML,sSaveFilePath,sFileExt)