| 首页 | | 页界资讯 | | 网络应用 | | 软件应用 | | 组网技术 | | 网络原理 | | 聊天通讯 | | 网管知识 | | 帮助 | |
| 笑话 | | 操作系统 | | 注 册 表 | | 编程开发 | | 数 据 库 | | 媒体动画 | | 网页设计 | | 图形图象 | | 地图 | |
| 论坛 | | 网络安全 | | 安全防范 | | 服 务 器 | | 硬件学堂 | | 路由技术 | | 搜索研究 | | 站长经验 | | 投稿 | |
| 影院 | | 教育频道 | | 特色专题 | | 精文荟萃 | | 注 册 码 | | 论坛社区 | | 网站地图 | | 广告服务 | | 旧版 | |
 设为首页  加入收藏 |
| 论坛登陆 注册 | 教程 笑话 影视 投稿 |
|
|
||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||||||||||||
 当前位置:首页>>文章>>网络安全>>安全防范>>正文 |
网页脚本攻击防范全攻略 |
|
| www.xker.com 作者: 来源:leftworld 加入日期:2006-3-24 11:08:08 | |
甚至可以执行像:net user fqy fqy /add 这样的指令.当然这就需要你当前的运行身份必须是Sa,或者你攻击的只是一台虚拟主机,我劝你还是就此打住. 对于一些整机使用的站点来说防止通过80端口攻击而直接拿到整机管理权限,这一点就变得至关重要了。对xp_cmdshell 的过滤就成为首要,很多站点的程序都是用GET或者是GET与POST混合来提交数据的,对于此,我们给出一种防止GET进行SQL注入的程序:如 程序体(5) fqys=request.servervariables("query_string") 我要做点声明的是:以上的程序只是对GET方式提交的数据进行的过滤,千万不要盲目套用。 像其他一些来自 ASP request 对象 (Reques、Request.QueryString、Request.Form、Request.Cookies和 Request.ServerVariables) 的用户输入的攻击方法的方法,大致都集中在脚本期望的输入变量是数字变量 (ID) 上,当然我们不能只看数字变量,比如: http://127.0.0.1/systembbs/showtopic.asp?tid=99&name=abc’ and left(userpasswor d,1)=’a http://127.0.0.1/systembbs/addtopic.asp?tid=99&name=abc’ and userpasswor d=’or’’=’ 另外,如何单一的防止类似这样的注入错误? http://127.0.0.1/systembbs/addtopic.asp?tid=99’ ;delete forum_forum;--&page=33 防范程序: 程序体(6) ……addtopic.asp?action=add…… 程序体(6) 出现这样的攻击,使我们的站长们不得不又再次头痛,这里我可以给出大家一个解决最好办法,一般的来说,用户名长度字符数不会超过15个字符,大都为14字符。那么我们从长度出发,来进行过滤:如程序体(7) 编辑:xker.com上一篇:与病毒赛跑,系统中毒之后的自救 下一篇:没有了 |
||
| 【关闭窗口】【技术交流】【收藏此页】 |
| 相关文章 |
| 评论 | |
设为首页 - 版权声明 - 广告服务 - 关于我们 - 联系我们 - 友情连接 |
|
| Copyright © 2003-2006 xker.com All rights reserved.小新技术网 合作广告QQ:12231446 | |
|
|
| 本页浏览次数: |