cn.daxia123.cn/cn.js注入的解决方案

最新推荐文章于 2022-02-22 02:57:10 发布
最新推荐文章于 2022-02-22 02:57:10 发布
阅读量857 收藏
点赞数
分类专栏: 卷轴 文章标签: sql server regex 数据库 sql cookies each
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/royal1/article/details/2501043
版权

近期网站数据库中被注入了大量cn.daxia123.cn/cn.js的恶意脚本,不解的是我明明在程序做了防注入代码还能被轻易攻击。

经查证发现该挂马将攻击代码用二进制编译成了类似于0x4445434C415245204054205641524348415228323535292C404的代码,防sql注入的代码无法识别,但sql server 会将此方式编译的代码还原为原来的样子这样就绕过了sql防注入代码。由于不是“and|update|script” 之类的防护方式能够解决的,除非网站全部改静态,否则中招的可能性很大。
针对该原理,首先我改进了防sql注入的代码(注意该代码不要用JS来写,否则对于禁掉该脚本的浏览器是无效的),做成avoidin.asp,嵌入每个传参数的ASP页面中进行非法代码的过滤,并将非法注入记录到日志中;然后,在数据库新增、更新前,对Value进行严格检查;最后把网站前台每个页面的数据库访问权限均改为只读,仅在后台维护系统和留言等内容提交中切换为可写权限。

这样改进后,这两个月来网站终于稳定下来,没再接连招到攻击了。

 

avoidin.asp代码如下:

<%
Response.Buffer = True  '缓存页面
'防范get注入
If Request.QueryString <> ""  Then StopInjection(Request.QueryString)
'防范post注入
If Request.Form <> ""  Then StopInjection(Request.Form)
'防范cookies注入
If Request.Cookies <> ""  Then StopInjection(Request.Cookies)

'正则子函数
Function StopInjection(Values)
Dim regEx
Set regEx = New RegExp
    regEx.IgnoreCase = True
    regEx.Global = True
    regEx.Pattern = "'|;|#|([/s/b+()]+([email=select%7Cupdate%7Cinsert%7Cdelete%7Cdeclare%7C@%7Cexec%7Cdbcc%7Calter%7Cdrop%7Ccreate%7Cbackup%7Cif%7Celse%7Cend%7Cand%7Cor%7Cadd%7Cset%7Copen%7Cclose%7Cuse%7Cbegin%7Cretun%7Cas%7Cgo%7Cexists)[/s/b]select|update|insert|delete|declare|@|exec|dbcc|alter|drop|create|backup|if|else|end|and|or|add|set|open|close|use|begin|retun|as|go|exists)[/s/b[/email]+]*)"
    Dim sItem, sValue
    For Each sItem In Values
        sValue = Values(sItem)
        If regEx.Test(sValue) Then      
   unLawStr=""
   for each x in Request.ServerVariables
     unLawStr = unLawStr & x & ":" & Request.ServerVariables(x) & Chr(13)&Chr(10)
   Next
   
   WriteLog unLawStr

            Response.Write "非法注入!你的行为已被记录!!:<br>"
            response.write Replace(unLawStr,Chr(13),"<br>")      
            Response.End
        End If
    Next
    Set regEx = Nothing
End function

Sub WriteLog(str)
        Const ForReading = 1, ForWriting = 2, ForAppending = 8
        logFile="c:/sqlin.log"
        Set fob = server.CreateObject("Scripting.filesystemObject")       
        Set fle=fob.OpenTextFile(logFile,ForAppending,true)       
        fle.writeLine "注入点:" & Now()
        fle.write str
        fle.writeline
        fle.close
        Set fob=nothing
End Sub
%>

 

royal1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Autocorrected_Typing_Software.zip
11-13
SICP proj2 by Ricky
数据库被批量注入JS脚本
朩冰雲的专栏
01-07 4073
这阵子,采用ASP+MSSQL设计的很多网站可能遭遇到sql数据库被挂马者插入JS木马的经历;这不,朋友的一个网站就被黑客忽悠了一把,mssql的每个varchar、text字段都被自动插入一段js代码,即使删除这段代码,如果没有从源头上解决,几分钟后,js代码就又会自动插入数据库。这很有可能是程序自动执行的,黑客先从搜索引擎google、百度等搜索存在漏洞的采用asp+mssql设计的网站,然后
TheCode.zip
06-14
官网源文件,方便大家下载。可以在华章官网申请下载,可能寻找起来较为麻烦。该资源为教材配套、公开资源。
excelfixinstaller.exe
05-27
excelfixinstaller.exe
完美刷机2.4.7.exe
05-27
完美刷机2.4.7.exe好用的刷机root工具
单片机C51学习例程(30章).PDF
11-19
仿真器使用的是大虾电子网http://www.daxia.com的DX516专业版或DX516S学生版。 适用于51单片机的初学者,有30个例程以及一些常用资料
过滤非法字符,防止注入式攻击等
nuannuan326的专栏
01-25 752
///    /// 过滤字符   ///    public static string Filter(string sInput)   {       if (sInput == null || sInput.Trim() == string.Empty)           return null;       string sInput1 = sInput.ToLower()
安服面试点总结
1
02-22 7345
目录 3389无法连接的几种情况 二次注入 报错注入的函数 基于格式错误的报错(xpath语法错误) 基于主键重复错误 堆叠注入 判断出网站的CMS对渗透的意义 一个成熟并且相对安全的CMS,渗透时扫目录的意义? mysql注入点,用工具对目标站直接写入一句话,需要哪些条件? 1.3389无法连接的几种情况 端口没有开放 端口被修改了 被拦截了 没出网(处于内网(需要进行端口转发)) 2.二次注入 恶意数据经过一些转义函数(get_magic_quotes_gpc)的
daxia123 网站木马近期横扫国内网站【站长都来】
松子儿的专栏
12-31 2031
注入攻击拦截的源码: dEcLaRe%20@S%20VaRcHaR(4000)%20SeT%20@s=cAsT(0x4445434C415245204054205641524348415228323535292C404320564152434841522832353529204445434C415245205461626C655F437572736F7220435552534F5220464F
javascript 过滤 script 非法标签 防止注入
热门推荐
清晨一场梦
07-23 2万+
方法如下: /** * [hasIllegalChar 判断是否含有script非法字符] * @param {[type]} str [要判断的字符串] * @return {Boolean} [true:含有,验证不通过;false:不含有,验证通过] */ function hasIllegalChar(str) { ...
提交’时提示ip被记录注入系统的利用。
fengling132的专栏
04-23 1569
很多朋友在入侵提权的时候都有会遇见,站点纪录了自己的IP。 本文就教大家查看本机信息存在对方站点的漏洞,防止被利用 例如: 网址:http://www.92hack.net/newslist.asp?id=122′ 提示“你的操作已被记录!”等信息。 利用方法:www.92hack.net/sqlin.asp 看是否存在,存在提交http://www.92hack.net
提交登入表单防止非法字符,sql注入js.
passport_daizi的博客
06-28 1万+
function checkLogin(){ var userName=document.getElementById("username").value; var userPass=document.getElementById("password").value; if(userName==''){ alert("用户名不能为空
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6279
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
华为手机为什么下载不了charles证书
最新发布
07-28
- *1* *2* [华为p20 安装Charles证书步骤](https://blog.csdn.net/daxia_85/article/details/103298784)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值