haimav
- 浏览: 57120 次
- 性别:
- 来自: 北京
-
最新评论
实施修复,方法有很多在这里介绍两种,咱们使用第2种
方法1: Replace过滤字符
解决方法:查找login.asp下的<from找到下边的类似
| username=request.Form("name") pass=request.Form("pass") |
修改为:
| username=Replace(request.Form("name"), "’", "’’") pass=Replace(request.Form("pass"), "’", "’’") |
语法是屏蔽’和’’字符来达到效果.
方法2:在conn.asp 内加入<!--#include file="safe.asp"-->
注:(前提 登陆页面有<!--#include file="conn.asp"-->)
把以下代码保存为safe.asp
qq:11422265
下面是程序代码********************************************************
| <% Dim Query_Badword,Form_Badword,i,Err_Message,Err_Web,name Err_Message = 3 Err_Web = "safe.htm" ’出错时转向的页面 Query_Badword="’|and|select|update|chr|delete|%20from|;|insert|mid|master.|set|chr(37)|=" ’在这部份定义get非法参数,使用"|"号间隔 Form_Badword="’|(|)|;|=" ’在这部份定义post非法参数,使用"|"号间隔 On Error Resume Next if request.QueryString<>"" then Chk_badword=split(Query_Badword,"|") FOR EACH Query_Name IN Request.QueryString for i=0 to ubound(Chk_badword) If Instr(LCase(request.QueryString(Query_Name)),Chk_badword(i))<>0 Then Select Case Err_Message Case "1" Response.Write "<Script Language=JavaScript>alert(’传参错误!参数 "&name&" 的值中包含非法字符串!\n\n请不要在参数中出现:and update delete ; insert mid master 等非法字符!’);window.close();</Script>" Case "2" Response.Write "<Script Language=JavaScript>location.href=’"&Err_Web&"’</Script>" Case "3" Response.Write "<Script Language=JavaScript>alert(’传参错误!参数 "&name&"的值中包含非法字符串!\n\n请不要在参数中出现:and update delete ; insert mid master 等非法字符!’);location.href=’"&Err_Web&"’;</Script>" End Select Response.End End If NEXT NEXT End if if request.form<>"" then Chk_badword=split(Form_Badword,"|") FOR EACH name IN Request.Form for i=0 to ubound(Chk_badword) If Instr(LCase(request.form(name)),Chk_badword(i))<>0 Then Select Case Err_Message Case "1" Response.Write "<Script Language=JavaScript>alert(’出错了!表单 "&name&" 的值中包含非法字符串!\n\n你的非法操作已记录,请马上停止非法行为!’);window.close();</Script>" Case "2" Response.Write "<Script Language=JavaScript>location.href=’"&Err_Web&"’</Script>" Case "3" Response.Write "<Script Language=JavaScript>alert(’唐山味儿不浓 告诉您出错了!参数 "&name&"的值中包含非法字符串!\n\谢谢您光临!,请停止非法行为!’);location.href=’"&Err_Web&"’;</Script>" End Select Response.End End If NEXT NEXT end if %> |
分享到:
发表评论
-
ASP与PHP比较
2009-09-28 23:17 730ASP与PHP比较──────┐ ☆注释符号☆│******* ... -
同时提交两个表单
2009-09-28 18:16 1237<script> function tes ... -
用html提交表单
2009-09-28 18:16 1987方法一: <html> <head> ... -
隐藏滚动条的控制
2009-09-28 18:13 11931)隐藏滚动条<body style="ove ... -
asp 字符串包含函数
2009-09-28 18:11 1072asp 字符串包含函数 <%ab="abcd ... -
防止外部提交表单
2009-09-28 18:11 774<% server_v1=Cstr(Request.S ... -
TXT生成MDB文件转ACCESS
2009-09-28 18:10 1368<%on error resume nextset co ... -
ASP内置对象Request的ServerVariables集合列表
2009-09-28 18:09 1157Request.ServerVariables("U ... -
内容复制后增加版权信息
2009-09-28 18:08 718<body >www.xinwanglu.cn 新 ... -
ASP生成html的新方法
2009-09-28 18:06 996已经有很多生成html的新闻系统,但是都是用的模板,本函数实现 ... -
27个不错的ASP代码
2009-09-28 18:02 8291. oncontextmenu="window.e ... -
用ASP实现上下线
2009-09-28 18:00 768用ASP实现上下线,方法是用来在线刷新的时间来做到。 一: ... -
如何 在SQL中删除重复的数据行
2009-09-28 18:00 1809有两个意义上的重复记录,一是完全重复的记录,也即所有字段均重复 ... -
用ASP发送EMAIL
2009-09-28 17:59 788<%function SendMail(ToAddres ... -
用户ASP中读出数据库名,表名,和字段名SQL的也行
2009-09-28 14:23 909<%'---------------读access库中的 ... -
用asp把一个单词分割成一个个字母
2009-09-28 14:17 781<% Dim StrStr="mynam ... -
ASP 只截取字符串的数字
2009-09-28 14:15 1203<%function RegExpTestsp(str, ... -
破解MD5的网站
2009-09-28 13:43 969http://www.md5.com.cn (一亿以上数据)h ... -
asp与数据库 总结与收集
2009-09-23 12:09 745关联文章 http://haimav.itey ... -
点击按钮打开 输入的链接
2009-09-14 21:56 8441、输出到框 <input type=text na ...
相关推荐
【标题】:“nbsi 安全检测SQL注入” 【正文】: 在网络安全领域,SQL注入(SQL Injection)是一种常见的攻击手法,攻击者通过输入恶意的SQL代码来操控数据库,获取敏感信息,甚至破坏整个系统。nbsi,可能是某种...
这些工具可以帮助开发者找出并修复潜在的安全问题,提高应用的安全性。 4. 使用安全开发最佳实践: 开发者应遵循OWASP(开放网络应用安全项目)的安全编码指南,了解并避免常见的安全陷阱。此外,进行代码审查和...
SQL注入漏洞是网络安全领域中的一个重要话题,它涉及到数据库管理和Web应用程序设计。此“SQL注入漏洞演示源代码”可能提供了一种模拟环境,帮助我们理解这种漏洞的工作原理以及如何防范它。 SQL注入是一种攻击手法...
- **手工检测**:常见的手法包括在查询语句中添加逻辑判断,如`' or '1'='1`。 - **工具**:如sqlmap、Burp Suite等工具可以帮助自动化检测和利用SQL注入漏洞。 #### 六、绕过文件上传检查的安全测试方法 - 当系统...
- 定期更新和修补数据库管理系统,修复已知的安全漏洞。 总的来说,理解SQL注入攻击的原理对于保障信息系统安全至关重要。通过实施上述防御措施,可以大大降低遭受此类攻击的风险,保护企业的数据资产免受侵害。
信息安全技术基础是信息技术领域中的一个关键分支,主要关注保护数据免受未经授权的访问、修改或披露。在这个专题中,我们将深入探讨...在这个过程中,掌握SQL注入的识别、防范和修复策略,对于维护信息安全至关重要。
同时,定期进行安全审计和更新,确保已知的安全问题得到修复。 总结来说,《超级SQL注入工具V1.0 正式版》是学习和检测SQL注入的重要资源,通过使用该工具,我们可以更好地理解和预防SQL注入攻击,提高系统的安全性...
Scrawlr是一款专门用于检测SQL注入的安全工具,它旨在帮助开发者和安全专业人员发现并修复应用程序中的潜在SQL注入漏洞。SQL注入是一种常见的网络攻击手法,攻击者通过输入恶意的SQL语句来操纵数据库,获取敏感信息...
SQL注入攻击是网络攻击者利用不安全的Web应用程序中存在的漏洞,通过输入恶意的SQL代码来操纵或篡改数据库的一种攻击方式。...同时,持续的教育和培训也是确保安全的关键,因为新的攻击手法和漏洞总是在不断演变。
- 定期更新和修补:及时修复已知的安全漏洞,保持软件和库的最新状态。 总的来说,理解和防范注入语句对于任何开发人员来说都是至关重要的,因为这直接影响到应用的安全性。只有通过不断学习和实践,才能有效抵御这...
6. **使用最新版本**:及时更新系统到最新安全补丁,修复已知的安全漏洞。 总的来说,SQL注入是Web应用程序常见的安全威胁之一,对espcms这样的内容管理系统来说也不例外。开发者和管理员必须重视此类漏洞,采取...
Scrawlr是一款由HP开发的免费工具,专用于检测SQL注入漏洞。在网络安全领域,SQL注入是一种常见的攻击手法,攻击者通过输入...使用这款工具,用户可以定期扫描其Web应用程序,及时发现并修复安全漏洞,确保数据的安全。
注入攻击是网络安全中常见的攻击手法,其中SQL注入是最为普遍的一种。通过在数据库查询中注入恶意SQL代码,攻击者可以访问或操作数据库,甚至可能获取系统权限。代码注入,又称为命令注入,攻击者通过注入操作系统...
4. 定期更新和修补数据库管理系统,以修复已知的安全漏洞。 5. 开启数据库日志,以便追踪异常行为并及时响应。 6. 对Web应用程序进行安全审计,查找并修复潜在的SQL注入漏洞。 总之,理解和防范SQL注入对于保障Web...
3. 保持软件更新,修复已知的安全漏洞。 4. 开发者进行安全编码培训,提高对SQL注入的认识。 总之,虽然这个工具可能用于学习目的,但实际环境中应避免SQL注入的发生,遵循最佳安全实践来保护你的数据库和用户数据...
1. **MS11-003漏洞**:这是微软在2011年发布的一个关键安全更新所修复的漏洞,主要影响Internet Explorer浏览器。攻击者可以通过创建特制的CSS导入语句,诱使用户访问含有恶意代码的网页,从而在目标系统上执行任意...
SQL注入攻击是一种严重的...总的来说,SQL注入攻击是数据库安全的一大威胁,需要通过多种手段结合,从预防、检测到响应,全面加强数据库系统的安全性。只有这样,才能有效保护校园网中的重要信息不被非法获取或破坏。
然而,这也意味着许多管理员可能忽视了必要的安全检测,从而为潜在的攻击者提供了可乘之机。 #### 攻击手法 攻击者通常是通过以下方式入侵ORACLE数据库的: 1. **获取数据库访问凭证**:攻击者首先需要获得数据库...
SQL注入(SQL Injection)是一种常见的网络攻击技术,它利用了Web应用中...另一方面,对于安全研究人员和渗透测试人员而言,深入理解SQL注入的工作原理,有助于在进行安全测试时,更准确地发现和修复潜在的安全风险。