在Gobal.asax文件中实现通用防sql注入漏洞程序

最新推荐文章于 2024-02-01 14:25:14 发布
最新推荐文章于 2024-02-01 14:25:14 发布
阅读量634 收藏
点赞数
分类专栏: asp.net 文章标签: sql regex 正则表达式 string application insert
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/asdwww007/article/details/6927051
版权 
//sqlhelper类
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Text;
using System.Text.RegularExpressions;

namespace WebApplication3
{
    public class SQLInjectionHelper
    {
        /// <summary>
        /// 获取Post的数据
        /// </summary>
        /// <param name="request"></param>
        /// <returns></returns>
        public static bool ValidsUrlData(string request)
        {
            bool result = false;
            // 获取Post的数据
            if (request == "POST")
            {
                for (int i = 0; i < HttpContext.Current.Request.Form.Count; i++)
                {
                    result = validData(HttpContext.Current.Request.Form[i].ToString());
                    if (result)
                    {
                        break;
                    }

                }

            }
            //获取Querystring中的数据
            else
            {
                for (int i = 0; i < HttpContext.Current.Request.QueryString.Count; i++)
                {
                    result = validData(HttpContext.Current.Request.QueryString[i].ToString());
                    if (result)
                    {
                        break;

                    }

                }
            }

            return result;
        }
        /// <summary>
        /// 验证是否存在注入的代码
        /// </summary>
        /// <param name="inputData">输入的字符</param>
        /// <returns></returns>

        public static bool validData(string inputData)
        {
            //验证inputData是否包含恶意集合
            if (Regex.IsMatch(inputData, GetRegexString()))
            {
                return true;
            }
            else
            {
                return false;
            }
        }

        /// <summary>
        /// 获取正则表达式
        /// </summary>
        /// <returns></returns>
        public static string GetRegexString()
        {    //构造Sql的注入关键字符
            string[] strBadChar = { "and", "exec", "insert", "select","delete","update" 
                                  ,"count","from","drop","asc","char","or","%",";",":"
                                  ,"\'","\"","-","chr","mid","master","truncate","char"
                                  ,"declear","SiteName","net user" ,"xp_cmdshell","/add"
                                  ,"exec master.dbo.xp_cmdshell","net localgroup administrators"
                                  };

            //构造正则表达式
            string str_Regex = ".*(";
            for (int i = 0; i < strBadChar.Length - 1; i--)
            {
                str_Regex += strBadChar[i] + "|";

            }
            str_Regex += strBadChar[strBadChar.Length - 1] + ").*";
            return str_Regex;
        }
    }
}
在Global文件中添加 
  void Application_BeginRequest(object sender, EventArgs e)
        {
            bool result = false;
            result = SQLInjectionHelper.ValidsUrlData(Request.RequestType.ToUpper());
            if (result)
            {
                Response.Write("你提交的数据有恶意的字符!");
                Response.End();
            
            }

        }

asdwww007
关注
专栏目录
孚盟云 多处SQL注入漏洞复现
0xSec
01-19 889
由于孚盟云 AjaxMethod.ashxAjaxSendDingdingMessage.ashx等接口未对用户传入的参数进行合理的校验和过滤,导致传入的参数直接携带到数据库执行,导致SQL注入漏洞,未经身份验证的攻击者可通过此漏洞获取数据库权限,深入利用可获取服务器权限。
全程云OA ajax.ashx SQL注入漏洞复现
0xSec
01-05 1165
​ 由于全程云oa办公系统ajax.ashx页面参数过滤不当,导致存在sql注入漏洞,未授权的攻击者可利用该漏洞获取数据库的敏感信息。
sql注入源码(mssql,mysql)
03-15
支持mssql,mysql,列数据库,文件目录,注册表等
一种通用SQL注入漏洞程序(Global.asax方式)
分享经验,共同进步.
06-17 2383
原理很简单:使用Global.asaxApplication_BeginRequest(object sender, EventArgs e)事件,实现表单或URL提交数据的获取,然后通过SQLInjectionHelper类完成恶意代码的检查。本代码只是考虑到通用性和部署简易性,因为项目已经开发完毕,并已经上线,为避免大量修改,才写的这个通用程序,大家可以在这里面加入不需要检查的表单值,
Ajax时代 SQL注入依然是隐患
weixin_33725270的博客
10-02 239
许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问),根据程序返回的结果,获得某些想得知的数据,这就是所谓的SQL Injection,即SQL注入SQL注入通过网页对网站数据库进行修改。它能够直接在数据库添加具有管理员权限的用户,从而最终获得系统管理员权限。黑客可以利...
孚盟云 SQL注入漏洞新接口-1day未公开漏洞
最新发布
weixin_43167326的博客
02-01 569
孚盟与阿里强强联手将最受青睐的经典C系列产品打造成全新的孚盟云产品,让用户可以用云模式实现信息化管理,让用户的异地办公更加流畅,大大降低小企业在信息化上成本,用最小的投入享受大型企业级别的信息化服务,使小企业在网络硬件环境、内部贸易过程管理与快速通关形成一套完整解决方案。
【GlobalMapper精品教程】069:文属性表乱码问题及解决方法
「 刘一哥与GIS的故事」
01-03 2665
文字体乱码通常是由字符编码不匹配造成的。将修改后的cpg文件改为原来的。,然后再将shp数据导出。【ArcGIS Pro微课1000例】0012:ArcGIS Pro属性表文乱码完美解决办法汇总]
vue : 无法加载文件 D:\软件安装\nodejs\node_global\vue.ps1,因为在此系统上禁止运行脚本。(解决办法)
快乐学习
02-21 5668
遇到问题在vscode的终端里面执行vue -V。会出现这个👇报错:vue : 无法加载文件 D:\软件安装\nodejs\node_global\vue.ps1,因为在此系统上禁止运行脚本。有关详细信息,请参阅 https:/go.microsoft.com/fwlink/?LinkID=135170 的 about_Execution_Policies。所在位置 行:1 字符: 1+ vue -v+ ~~~二、解决办法。
Typescript声明文件详解
doomliu的博客
05-17 4164
简介 声明文件是以.d.ts为后缀的文件,开发者在声明文件编写类型声明,TypeScript根据声明文件的内容进行类型检查。(注意同目录下最好不要有同名的.ts文件和.d.ts,例如lib.ts和lib.d.ts,否则模块系统无法只根据文件名加载模块) 为什么需要声明文件呢?我们知道TypeScript根据类型声明进行类型检查,但有些情况可能没有类型声明: 第三方包,因为第三方包打包后都是JavaScript语法,而非TypeScript,没有类型。 宿主环境扩展,如一些hybrid环境,在window
Vue.js 框架源码与进阶 - Vue.js 3.0 介绍
时光海的博客
03-14 1655
15.1 源码组织方式 采用 TypeScript 的方式重写 为了提升代码的可维护性,Vue 3.x 的源码全部采用 TypeScript 编写 大型项目的开发都推荐使用类型化的语言,在编码的过程当帮我们检查类型的问题 使用 Monorepo 管理项目结构 把独立的功能模块都提取到不同的包,每个功能模块之间的划分明确,模块之间的依赖关系也明确 每个功能模块都可以单独测试、单独发布以及单独使用 packages 目录结构 packages 目录下都是独立发行的包,可以独立使用
8.Python的函数整理总结(程序结构、模块、包、命令行参数、多项式相加程序、全排列程序
weixin_45994391的博客
10-08 771
一、函数 函数的定义和调用: 函数是重用的程序段。他们允许你给一段语句命名一个名字,这是函数定义。 你可以在你的程序的任何地方使用这个名称运行这个语句块,这是函数调用。 内置函数不用定义,直接调用。 自定义函数语法格式: def 函数名(参数表) 函数体 函数要先定义,再使用 #如要定义函数:y=x^2+1 >>> def f(x): value=x**2+1 return value >>> n=int(input()) 2 >>> y=(f
ASP漏洞+SQL注入的入侵方法
weixin_34018202的博客
04-23 1007
本文就是想对装上了火墙的主机,进行入侵攻击的大概思路小结一下。 首先当然是用扫描器对这台服务器(以下简称主机A)进行常规的扫描,得到初步的信息。再用nmap -sS IP -P0 -p 139 ,透过火墙查看是否开有139端口。从上面得到的信息我们可以简单的判断到:主机A的系统是什么,装有火墙的 话,一般是只允许80端口开放的。如果能够泄漏asp源文件,当然是最好不过的了,但是一般难...
在Global.asax文件实现通用SQL注入漏洞程序
qq_27915701的博客
04-08 951
首先,创建一个SQLInjectionHelper类完成恶意代码的检查 代码如下: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
ASPX通用注入代码
hb0746的专栏
03-03 2677
<br />一,验证方法<br />/**//// <summary><br />///SQL注入过滤<br />/// </summary><br />/// <param name="InText">要过滤的字符串</param><br />/// <returns>如果参数存在不安全字符,则返回true</returns><br />public static bool SqlFilter2(string InText)<br />{<br />   string word="and|exec|ins
渗透测试学习 九、 MSsql注入
weixin_30788239的博客
04-26 605
MSsql注入漏洞详解 (Asp、Aspx站,常见于棋牌网站、考试网站、大学网站、政府网站、游戏网站、OA办公系统) 大纲:msSQL数据库调用分析  msSQL注入原理  msSQL注入另类玩法   msSQL数据库介绍及操作   介绍:ms SQL是指微软的SQLServer数据库服务器,它是一个数据库平台,提供数据库的从服务器到终端的完整的解决方案,其数据库服务器部分,是一个数据...
asp.net 360通用护代码,sql注入与xss跨站漏洞攻击
lisky119的专栏
10-12 5374
这是360提供的一个aspx公用代码,可以sql注入漏洞,xss跨站攻击漏洞,如果您的网站被360扫描,出现sql注入或跨站攻击等相关漏洞,没有较好的解决方案,倒是可以采用该方法进下范。 -----------------使用方法------------------- 1.将App_Code目录拷贝到web根目录 假如已经存在App_Code目录,那直接把App_Code目
.Netsql注入的方法总结
weixin_30421809的博客
06-22 527
#sql注入的常用方法: 1、服务端对前端传过来的参数值进行类型验证; 2、服务端执行sql,使用参数化传值,而不要使用sql字符串拼接; 3、服务端对前端传过来的数据进行sql关键词过滤与检测; #着重记录下服务端进行sql关键词检测: 1、sql关键词检测类: 1 public class SqlInjectHelper:System.Web.UI...
Global.asax的16个事件处理过程
我的专栏
10-14 1230
1.Application_BeginRequest                                每一次前台用户提交Request时,都会启动这个过程2.Application_AuthenticateRequest                      此次的客户端Request已准备被认证,本事件过程会在真正认证前台用户前被执行,所以可在这里编写某些自定义的认证过程.3.
ASPX+MSSQL注入
Jim的博客
08-15 6415
MSSQL注入点的基本检查 1.类型的判断 2.权限的判断 3.返回信息的判断 利用扩展存储注入攻击 MSSQL注入点的基本检查: 注入点类型的判断:and exists (select * from sysobjects) 注入点权限的判断: and 1=(select is_srvrolemember('sysadmin')) //判断是否是系统管理员 and 1=(sele
gobal speed
10-08
Global Speed是一款视频加速插件,它可以在几乎所有含视频的网站上生效,支持0.25倍至16倍的视频加速播放。你可以通过点击插件的拓展图标,在倍速列表选择想要使用的倍速来实现视频的加速播放。另外,插件还提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值