`
redalx
  • 浏览: 181920 次
  • 性别: Icon_minigender_1
  • 来自: 成都
社区版块
存档分类
最新评论

asp注入和防注入

ASP 
阅读更多
在asp程序中xss和Sqlinjection的防范一直是一个大问题,尤其是我现在不使用asp却偶尔需要维护遗留的asp程序,先在网上找一下如下的绕过通用防过滤的方法。然后在想办法来预防
1、运用编码技术绕过
如URLEncode编码,ASCII编码绕过。例如or 1=1即%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。

2、通过空格绕过
如两个空格代替一个空格,用Tab代替空格等,或者删除所有空格,如
or' swords' =‘swords',由于mssql的松散性,我们可以把or 'swords' 之间的空格去掉,并不影响运行。

3、运用字符串判断代替
用经典的or 1=1判断绕过,如or 'swords' ='swords',这个方法就是网上在讨论的。

4、通过类型转换修饰符N绕过
可以说这是一个不错的想法,他除了能在某种程度上绕过限制,而且还有别的作用,大家自己好好想想吧。关于利用,如or 'swords' = N' swords' ,大写的N告诉mssql server 字符串作为nvarchar类型,它起到类型转换的作用,并不影响注射语句本身,但是可以避过基于知识的模式匹配IDS。

5、通过+号拆解字符串绕过
效果值得考证,但毕竟是一种方法。如or 'swords' =‘sw' +' ords' ;EXEC(‘IN' +' SERT INTO '+' …..' )

6、通过LIKE绕过
以前怎么就没想到呢?如or'swords' LIKE 'sw'!!!显然可以很轻松的绕过“=”“>”的限制……

7、通过IN绕过
与上面的LIKE的思路差不多,如or 'swords' IN ('swords')


8、通过BETWEEN绕过
如or 'swords' BETWEEN 'rw' AND 'tw'

9、通过>或者<绕过
or 'swords' > 'sw'
or 'swords' < 'tw'
or 1<3
……

10、运用注释语句绕过
用/**/代替空格,如:UNION /**/ Select /**/user,pwd,from tbluser
用/**/分割敏感词,如:U/**/ NION /**/ SE/**/ LECT /**/user,pwd from tbluser

11、用HEX绕过,一般的IDS都无法检测出来
0x730079007300610064006D0069006E00 =hex(sysadmin)
0x640062005F006F0077006E0065007200 =hex(db_owner)
分享到:
评论

相关推荐

    Asp防注入代码Asp防注入代码

    Asp防注入代码Asp防注入代码Asp防注入代码Asp防注入代码Asp防注入代码Asp防注入代码Asp防注入代码Asp防注入代码Asp防注入代码Asp防注入代码Asp防注入代码

    最新ASP通用防SQL注入代码

    ASP(Active Server Pages)是一种微软开发的服务器端脚本环境,用于创建动态交互式网页。...通过阅读和分析"通用防SQL注入代码.asp",开发者可以学习如何在自己的项目中实施这些防御策略,从而提升网站的整体安全性。

    ASP源码—360通用ASP防护代码(防sql注入).zip

    综上所述,理解和应用360通用ASP防护代码对于任何ASP开发者来说都是至关重要的,它不仅可以防止SQL注入,还能帮助建立安全意识,提升整体的编程实践。在部署和维护ASP应用程序时,务必重视代码的安全性,确保用户...

    asp的防注入代码通用防注入代码

    asp通用防注入代码 ;解决注入问题,asp漏洞问题。。

    asp通用防SQL注入文件

    总结来说,ASP通用防SQL注入文件是一个用于保护ASP应用程序免受SQL注入攻击的工具,它通过一系列验证、转义和安全编程实践,确保用户输入不会威胁到数据库的安全。开发者应当了解并掌握这些防注入技巧,以提升他们的...

    asp防止SQL注入和SQL注入资料

    asp防止SQL注入和SQL注入资料;asp;asp sql;asp防注入asp防止SQL注入和SQL注入资料;asp;asp sql;asp防注入asp防止SQL注入和SQL注入资料;asp;asp sql;asp防注入 asp的朋友可以看看 分享

    asp防注入的代码(经典)

    ASP(Active Server Pages)是一种微软开发的服务器端脚本环境,用于创建动态交互式网页。在ASP应用程序中,SQL...通过学习和实践这些防注入技术,你可以提升你的ASP编程能力,更好地保护你的应用程序不受恶意攻击。

    经典的ASP防注入,我已经经过测试了

    ### 经典的ASP防注入方法解析 #### 标题:经典的ASP防注入,我已经经过测试了 在本文中,我们将深入探讨一个经典的ASP(Active Server Pages)防止SQL注入的方法,并对其进行了详细的测试验证。 #### 描述:经典的...

    ASP.NET通用防注入实用版

    ASP.NET通用防注入实用版是一款针对C#编程语言和ASP.NET框架开发的安全工具,主要用于防止SQL注入等类型的攻击。SQL注入是一种常见的网络安全威胁,黑客通过输入恶意SQL代码,以欺骗服务器执行非授权的操作,获取...

    ASP-ISAPI通用防注入过滤器

    一个基于IIS系统的组件,其拥有强大的防ASP注入功能.能在ASP程序本身存在注入漏洞的情况下防御注入攻击。同时它还具备防数据库下载、防止数据库扩展名被修改为asp后插入ASP语句攻击等功能。内核全部采用C++编写,...

    网站防木马注入程序asp和asp.net版本。

    网站防木马注入程序是网络安全领域的一个重要话题,特别是对于使用ASP和ASP.NET技术构建的网站来说。木马注入是一种常见的网络攻击手段,攻击者通过输入恶意代码来控制或破坏网站,导致数据泄露、系统瘫痪等严重后果...

    asp.net防注入代码

    - **fwvv.net说明.txt**:可能是针对某个特定的ASP.NET安全库或工具的说明文档,如FwVv.Net,它可能提供了一套集成的解决方案来防止SQL注入和其他Web安全问题。 - **ASP.NET(C Sharp)防SQL注入脚本2.0**:这可能是...

    ASP防SQL注入的方法

    ASP防SQL注入 news表的id字段是Integer型的,title字段是nvarchar(50)型的,执行的结果是把news表中id字段为10的记录的title字段的内容改成“1'2'3”.......

    ASP.NET防SQL注入DEMO

    ASP.NET是一种广泛使用的Web应用程序开发框架,由微软公司开发,它提供了一整套构建高性能、安全性和可伸缩性Web应用的工具和技术。在本文中,我们将深入探讨如何在ASP.NET中防止SQL注入攻击,这是一个重要的安全...

    ASP防注入文件,放在CONN文件下

    ### ASP防注入技术详解 #### 一、概述 在当今高度信息化的社会中,Web应用程序的安全性变得尤为重要。SQL注入攻击是常见的安全威胁之一,它利用Web应用中的漏洞将恶意SQL命令插入到查询语句中执行,从而导致数据...

    Asp.Net通用Sql防注入源码

    在Asp.Net开发中,SQL注入是一个非常...总的来说,掌握Asp.Net通用Sql防注入技术是每个Web开发者必备的知识,这关系到应用程序的稳定性和用户数据的安全。通过不断学习和实践,我们可以有效地防止这种常见的安全威胁。

    asp防注入代码 asp防注入代码

    asp 防注入代码详解 ASP 防注入代码是指在 ASP 编程中防止 SQL 注入攻击的代码。SQL 注入攻击是一种常见的网络攻击手段,攻击者通过输入恶意 SQL 语句来访问或修改数据库中的敏感信息。 在本文中,我们将详细介绍...

    ASP防SQL注入代码

    ### ASP防SQL注入代码解析 #### 一、概述 随着互联网技术的发展,Web应用程序的安全问题日益突出。其中,SQL注入攻击是一种常见的安全威胁,它利用Web应用中的漏洞将恶意SQL命令插入到查询语句中执行,从而导致...

    全面的asp防注入代码

    asp防注入代码 防注入代码 防注入源码 asp防注入代码 防注入代码 防注入源码 asp防注入代码 防注入代码 防注入源码

    asp 防sql注入 参考代码

    asp 防sql注入的参考代码 这是我用的网站上的代码 此文件作为包含文件 被包含在每个页面 作用:防止sql注入

Global site tag (gtag.js) - Google Analytics