彻底解决asp注入漏洞不再任人宰割!绝对原创!

最新推荐文章于 2024-03-13 16:58:32 发布
最新推荐文章于 2024-03-13 16:58:32 发布
阅读量2.7k 收藏
点赞数
文章标签: asp function sql server 数据库 sql class
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weizhonghua1978/article/details/951890
版权

本人最近研究彻底解决asp注入漏洞的方法!希望大家多提建议
原理,就是象java一样使用preparestatement.
下面例子连接的是sql server数据库
代码如下:
PrepareSql.asp
<%
' 定义数据库操作常量
 Const adStateClosed = 0
 Const adOpenForwardOnly = 0, adOpenKeyset = 1, adOpenDynamic = 2, adOpenStatic = 3
 Const adLockReadOnly = 1, adLockPessimistic = 2, adLockOptimistic = 3, adLockBatchOptimistic = 4
 Const adCmdText = 1, adCmdTable = 2, adCmdStoredProc = 4, adExecuteNoRecords = 128
 Const adBigInt = 20, adBoolean = 11, adChar = 129, adDate = 7, adInteger = 3, adSmallInt = 2, adTinyInt = 16, adVarChar = 200
 const adParamInput = 1, adParamOutput = 2, adParamInputOutput = 3, adParamReturnValue = 4
%>
<%Class PrepareSQL
 Private cmdPrep
 Private m_String
 Private m_Sql
 Private m_conn
 public function setconn(conn)
  set m_conn=conn
 end function
 Public Function prepare(sql)
  set cmdPrep=nothing
     SET cmdPrep=Server.CreateObject("ADODB.Command")
  set cmdPrep.ActiveConnection=m_conn
  cmdPrep.CommandText =sql
 End Function
 Public Function setInt(theValue ) 
  cmdPrep.Parameters.Append cmdPrep.CreateParameter("", adInteger, adParamInput,, theValue) 
 End Function
 Public Function setDate(theValue ) 
    cmdPrep.Parameters.Append cmdPrep.CreateParameter("", adVarChar, adParamInput, 100, theValue) 
 End Function
 Public Function setBoolean(theValue ) 
  cmdPrep.Parameters.Append cmdPrep.CreateParameter("", adBoolean, adParamInput, 1, theValue)  
 End Function 
 Public Function setString(theValue ) 
  if(len(theValue)=0 )then
  
  cmdPrep.Parameters.Append cmdPrep.CreateParameter("", adVarChar, adParamInput, 1, theValue)
  else
  cmdPrep.Parameters.Append cmdPrep.CreateParameter("", adVarChar, adParamInput, lenb(theValue), theValue)
  end if
 End Function
 Public Function execute()
  set execute=cmdPrep.Execute
 End Function
End Class%>


test.asp
<!--#include file="../include/datastore.asp"-->
<!--#include file="../include/PrepareSql.asp"-->
<%
Dim ps
Dim cn
set cn=server.CreateObject("adodb.connection")
Dim strcn
strCn="driver={SQL server};server=127.0.0.1;uid=sa;pwd=test;database=PUBS"
cn.Open strCn
set ps=new  PrepareSql 
ps.setconn cn
ps.prepare "select * from user where id =?"
ps.setint 1
dim rs
set rs=ps.execute
%> 

weizhonghua1978
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
最新 彻底解决asp注入漏洞
05-13
原理,就是象java一样使用preparestatement. 详细请看例子
常见安全漏洞及其解决方案
A_991128a的博客
06-17 5630
执行时,此后的文本将被忽略。但这并不是无代价的,受到损失最大的就是被控制的网站,往往随着暗链所指向的网站的权重不断提高,存在暗链的网站的权重将不断下降,搜索引擎排名也必然一再下降,严重影响网站的影响力。漏洞危害:该漏洞是通过版本号探测的,可能存在误报Apache HTTP Server是一款开源的流行的HTTPD服务程序.当处理包含大量Ranges头的HTTP请求时,ByteRange过滤器存在一个错误,攻击者可以向服务器发送特制HTTP请求,消耗大量内存,造成应用程序崩溃CVE-2011-3192。
漏洞复现】畅捷通T+ InitServerInfo.aspx SQL注入漏洞
最新发布
weixin_52204925的博客
03-13 658
畅捷通T+InitServerInfo.aspx接口处存在SQL注入漏洞 ,恶意攻击者可能会利用该漏洞获取服务器敏感信息,最终可能导致服务器失陷。
SQL注入漏洞原理,基本方法,绕过方法及防御
qq_62886656的博客
05-03 7802
目录 一,原理 二,如何注入? 1, 联合注入 2,基于错误的注入 3,布尔盲注 4,延时注入 三,绕过方法添加注释 四,防御方式 一,原理 SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 从过程上分析,在前端构造一份表单,可以是输入账号密码,也可以是其他能够输入并提交的功能,向后端传输数据的时候,如果我
24、数据库ASP+ACCESS网站手工注入漏洞检测及防御实战
郭盛华的CSDN技术博客
10-15 566
主讲老师:郭盛华   MicrosoftOffice Access是由微软发布的关系数据库管理系统。Microsoft Access在很多地方得到广泛使用,例如小型企业,大公司的部门。   另外,在开发一些小型网站WEB应用程序时,用来存储数据。例如ASP+Access。这些应用程序都利用ASP技术在IIS服务器里运行。比较复杂的WEB应用程序则使用PHP+MySQL或者ASP+Micr...
asp 执行 exe_Web安全:命令执行漏洞
weixin_39767386的博客
11-24 314
命令执行是指攻击者通过浏览器或者其他客户端软件提交一些cmd命令(或者bash命令)至服务器程序,服务器程序通过system、eval及exec等函数直接或者间接地调用cmd.exe执行攻击者提交的命令。命令执行漏洞产生的原因是,开发人员在编写PHP代码时,没有对代码中可执行的特殊函数入口进行过滤,导致客户端可以提交一些cmd命令(或者bash命令),并交由服务器程序执行。服务器程序没有...
漏洞复现- - -IIS解析漏洞在fckEditor上传攻击中的利用
weixin_67503304的博客
10-26 2082
本文主要讲解了IIS解析漏洞在fckEditor上传攻击中的利用方式及其详细步骤。
asp终极防范SQL注入漏洞
01-02
下面给出4个函数,足够你抵挡一切SQL注入漏洞!读懂代码,你就能融会贯通。 注意要对所有的request对象进行过滤:包括 request.cookie, request.ServerVariables 等等容易被忽视的对象: 代码如下: function killn...
SQL注入ASP注入漏洞全接触.pdf
05-31
SQL注入ASP注入漏洞全接触.pdf
SQL注入天书之ASP注入漏洞全接触
03-04
根据国情,国内的网站用ASP+Access或SQLServer的占70%以上,PHP+MySQ占L20%,其他的不足10%。在本文,我们从分入 门、进阶至高级...了解 ASP注入的朋友也请不要跳过入门篇,因为部分人对注入的基本判断方法还存在误区。
漏洞复现篇——任意代码命令执行漏洞复现及防御
爱国小白帽
02-27 3895
什么是代码执行: 当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能够控制这个字符串,将造成代码注入漏洞。 代码执行函数: 在php中:eval,assert,preg_replace(‘/*/e’, 'ret="1";′,ret = "\\1";',ret="1";′,data); 在asp中:eval, exevute,executeglobal 在jsp中:jsp中没有p...
asp注入漏洞测试环境
02-28
学习环境。主要是从通过注入拿到网站后台的用户名和密码
ASP存在的漏洞
weixin_58782362的博客
07-20 235
asp在当下其实存在的漏洞已经很少了。所以不算是重点,但可以作为了解。
ASP注入应用漏洞解决方法整理
weixin_34004576的博客
11-20 109
ASP注入应用漏洞解决方法整理 该文章转自 联信软件 1、ASP程序连接 SQL Server 的账号不要使用sa,或任何属于Sysadmin组的账号,尽量避免应用服务有过高的权限,应使用一个db_owner权限的一般用户来连接数据库。 2、WEB应用服务器与DB服务器分别使用不同的机器来存放,并且之间最好通过防火墙来进行逻辑隔...
Java 过滤器解决URLSQL注入漏洞、跨站漏洞、框架注入漏洞、链接注入漏洞
SuperstarSteven的博客
08-16 5936
一、 漏洞描述 1. 检测到目标URL存在SQL注入漏洞 很多WEB应用中都存在SQL注入漏洞SQL注入是一种攻击者利用代码缺陷进行攻击的方式,可在任何能够影响数据库查询的应用程序参数中利用。例如url本身的参数、post数据或cookie值。 2.检测到目标URL存在跨站漏洞 跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息或在终端用户系统上执行恶意代码
致翔OA漏洞学习——msglog.aspx SQL注入漏洞
记录并分享学习安全的知识点..
05-02 2912
警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保 一、概述 致翔OA msglog.aspx文件存在SQL注入漏洞,攻击者通过漏洞可获取敏感信息。注:注入参数为user。
金和OA GetTreeDate.aspx SQL注入漏洞
xiaokp7的博客
09-22 478
金和OA协同办公管理系统C6软件共有20多个应用模块,160多个应用子模块,涉及的企业管理业务包括协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多个业务范围,从功能型的协同办公平台上升到管理型协同管理平台,并不断的更新完善,全面支撑企业发展,提供专业oa,oa系统,oa办公系统,办公自动化软件,协同办公管理系统.支持oa办公自动化系统免费在线试用。金和OA GetTreeDate存在SQL注入漏洞
asp.net request防sql注入_安全漏洞大揭秘:手把手教你轻松防止SQL注入
weixin_39906878的博客
11-16 565
安全漏洞大揭秘:手把手教你轻松防止SQL注入SQL(结构化查询语言)注入是众所周知的软件弱点和安全漏洞,如果不是的话,也是最出名的漏洞之一。尽管享有盛名,但如何防止SQL注入仍然是主要漏洞之一,并且攻击持续增长。查找SQL注入根据OWASP Top 10,注入漏洞(其中SQL注入是其中一种)是Web应用程序安全性的头号问题。SQL注入在CWE Top 25中排名第六。其他类型的安全漏洞示例包括:...
SQL注入漏洞上传webshell的需求分析
05-25
SQL注入漏洞上传webshell的需求分析包括以下几个方面: 1. 确定上传webshell的目的和用途:上传webshell的目的是为了获取服务器权限,从而进行更进一步的攻击或者窃取敏感信息。因此,需要明确上传webshell的用途,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值