ASP防注的最佳的方法

最新推荐文章于 2018-08-16 17:02:00 发布
最新推荐文章于 2018-08-16 17:02:00 发布
阅读量1.1k 收藏
点赞数
文章标签: asp asp.net sql 数据库 服务器 html
我目前在学ASP(注意:不是ASP.NET)和JAVA。ASP只有一年不到的经验,所以如果文中有什么不妥之处请见谅,并请留言告知,谢谢了^-^.
1.在递交表单的时候可以用checkStr来check一下,这样可以过滤SQL非法字符。
函数定义:
Rem  过滤SQL非法字符
function  checkStr(str)
  if   isnull (str)  then
  checkStr  =   " "
   exit   function  
  end   if
 checkStr = replace (str, " ' " , " '' " )
 end function

使用方法:
check = checkStr(request.form( " check " ))

2.过滤关键字。一般打开一个信息页面的时候都会出现类似于shownews.asp?id=2的地址,如果shownews.asp存在漏洞,很容易就会被注入,但是如果用HTMLEncode在shownews.asp页面中过滤一下关键字id,你就会发现扫描软件根本找不到注入点.
函数定义:
Rem  过滤HTML代码
function  HTMLEncode(fString)
 if   not   isnull (fString)  then
    fString  =   replace (fString,  " > " " > " )
    fString  =   replace (fString,  " < " " &lt; " )

    fString  =   Replace (fString,  CHR ( 32 ),  " &nbsp; " )
    fString  =   Replace (fString,  CHR ( 9 ),  " &nbsp; " )
    fString  =   Replace (fString,  CHR ( 34 ),  " &quot; " )
    fString  =   Replace (fString,  CHR ( 39 ),  " &#39; " )
    fString  =   Replace (fString,  CHR ( 13 ),  " <BR> " )
    fString  =   Replace (fString,  CHR ( 10 &   CHR ( 10 ),  " </P><P>  " )
    fString  =   Replace (fString,  CHR ( 10 ),  " <BR>  " )
    HTMLEncode  =  fString
 else
   HTMLEncode = fstring
 end   if
end function
使用方法:
id = HTMLEncode(id)

3.如果你有服务器管理权,最好把错误返回页面之相同一个页面,这样可以躲避很多软件的扫描。
4.如果你还是害怕数据库信息会被泄露,你可以构造难以想到的表名比如:dbajhkhkjsdfl等等,扫面软件扫面的表名是固定的,而人就更想不到了.

以上就是我这一年来对ASP防注的经验,一般来说如果你的功夫不深写代码都会出现注入漏洞,我想以上方法会对你有很大的帮助,如果你有什么好的方法,大家可以起交流^-^, 
Fantongking
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ASP防注
yonghengzhimi的专栏
09-13 686
ASP防注入漏洞方法 在做安全配置前,我们先了解一下入侵者的攻击手法。现在很流行注入攻击,所谓注入攻击,就是利用提交特殊地址将ASP引用的正常SQL语句和入侵者所需要的SQL语句一并执行,使入侵者达到入侵的目的。现在更是有一些脚本注入工具发布,使菜鸟也可以轻松完成对ASP注入攻击。那么我们先来了解一下这些工具是怎样注入的。 首先,入侵者会对一个网站确定可不可以进行注入,假设一篇文章的地址为:http://www.scccn.com/news.asp?id=1一般会以提交两个地址来测试,如:http.
ASP工具注入+手工注入+PHP注入+转注
03-06
御手工注入方法包括限制输入长度,使用白名单过滤,以及确保所有动态SQL语句都是参数化的。 3. PHP注入:PHP是一种广泛使用的开源脚本语言,常用于Web开发。PHP注入ASP注入类似,但针对的是PHP环境。攻击者...
放入conn.asp(拒绝攻击 万能Asp防注入代码)
shalfen的专栏
04-22 9811
放入conn.asp(拒绝攻击 万能Asp防注入代码)放入conn.asp(拒绝攻击 万能Asp防注入代码)第一种:squery=lcase(Request.ServerVariables("QUERY_STRING"))sURL=lcase(Request.ServerVariables("HTTP_HOST")) SQL_injdata =":|;|>| SQL_inj
asp有效防注
记事本
09-07 929
’******************************************’ str1 允许的字符串列表’ str2 外部输入字符串列表’******************************************Function isValid(str1,str2)’Dim strTextisValid = FalseFor i = 1 to Len(Trim(
aspsql注入代码
加速度
07-08 813
dim sql_injdataSQL_injdata = "|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"SQL_inj = split(SQL_Injdata,"|") If Request.QueryStringFor Each SQL_Get In Request
非法字符替换,SQL注入(asp)
hzf100的专栏
09-10 1841
===============================函数名:CheckStr(byVal ChkStr)作用:非法字符替换,SQL注入=============================== Function CheckStr(byVal ChkStr)  Dim Str:Str=ChkStr Str=Trim(Str) If IsNull(Str) Then  Chec
ASP源码—360通用ASP护代码(sql注入).zip
最新发布
10-14
8. **代码审查**:定期进行代码审查,查找可能的安全漏洞,确保所有输入处理都遵循最佳安全实践。 360通用ASP护代码应该包含了这些策略的实现,通过集成这些代码,开发者可以在不牺牲功能的情况下增强应用程序的...
基于ASPsql 通用防注入3.2 最新版更新.zip
07-11
8. **持续更新和维护**:保持对最新安全漏洞的了解,及时更新和升级防注入库,如这个“通用防注入3.2”版本,以应对新出现的攻击手段。 9. **Web应用程序火墙(WAF)**:使用WAF可以额外增加一层护,它可以识别...
音乐FANS的福音-明智音乐网站
03-26
后台帐号密码:jiaxinsmuqqq(注:如果后台出现登录不进的情况,请在/admin目录打开chklogin.asp,把第二行给去掉,CODE佳源码网站长调试) 后台登陆地址:http://你的网站地址/admin 然后到后台修改网站信息(改后要...
蓝色夕阳网正版交友程序Asp+MS SQL 商业版 版本 3.0
01-21
 注:这个Dll动态链接库是经过编译过的源代码,没有任何后门和漏洞,只是为了安全和性能。可空间商盗用你的程序。 五、上传打水印组件安装。  如果发现网站照片不能上传,可能是服务器没有安装打水印组件。 ...
最新ASP通用SQL注入代码
10-13
这是经过整理和测试的,最新ASP通用SQL注入代码。 很简洁也很好用.和大家分享.
ASP恶意注册引擎(ValidateClass) 1.3.rar
05-27
ASP恶意注册引擎(ValidateClass)自己写的预各类机器人恶意注册或发布垃圾消息的APS类,调用简单方便。使用后,可根据情况取消验证码哦。除非对方专门针对本算法编写机器人程序或手工注册,否则是不允许注册的哦。 2011-02-19:扩展了类方法,增强了安全性。具体看demo。 2011-02-22:新增验证Referer属性。
ASPSQL注入代码
05-21
ASP防注入,ASP防注入代码,ASP防注ASP防注
asp防注入代码
09-13
通过在存在页面添加该代码,能有效sql注入
ASP网站注入的三种方法,使你的网站更安全
weixin_34056162的博客
04-12 503
当我们发现ASP网站被扫描有注入点,该怎么办?是不是很着急啊,试试这三种方法吧: 第一种: squery=lcase(Request.ServerVariables("QUERY_STRING")) sURL=lcase(Request.ServerVariables("HTTP_HOST")) SQL_injdata =":|;|&gt...
asp 通用注入
lorinzhang
02-20 818
<% '--------版权说明------------------ 'SQL通用防注入程序 完美版 '--------定义部份------------------ Dim Fy_Post,Fy_Get,Fy_In,Fy_Inf,Fy_Xh,Fy_db,Fy_dbstr,alerts '自定义需要过滤的字串,用 "|" 分隔 Fy_In = "'|;|and|exec|insert|selec
aspsql注入
滴水石穿
02-06 1211
以下为引用的内容: Dim Fy_Url,Fy_a,Fy_x,Fy_Cs(),Fy_Cl,Fy_Ts,Fy_Zx '声明变量和数组 '---定义部份 头------  Fy_Cl = 1 '处理方式:1=提示信息,2=转向页面,3=先提示再转向  Fy_Zx = "index.Asp" '出错时转向的页面  '---定义部份 尾------  On Error Resume N
ASPSQL注入
weixin_34297704的博客
08-16 1424
'SQL注入'http://0.0.0.0/bzhs/login.asp?logType=edit';WAITFOR DELAY '0:0:5' --logType = Replace(Replace(Replace(Replace(logType,"-",""),"'",""),"&amp;",""),";","")fcdm = Rep

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值