收集的ASP.NET 防注入攻击

最新推荐文章于 2024-09-09 08:21:44 发布
最新推荐文章于 2024-09-09 08:21:44 发布
阅读量677 收藏
点赞数
分类专栏: ASP.NET 文章标签: asp.net string application null object c

原文:http://topic.csdn.net/u/20090309/15/e9a12583-73f1-4e4c-9c0c-f49cf271705b.html

 

void Application_BeginRequest(Object sender, EventArgs e)
    {
        StartProcessRequest();

    }

    #region
    private void StartProcessRequest()
    {
        try
        {
            string getkeys = "";
            string sqlErrorPage = "index.aspx";
            if (System.Web.HttpContext.Current.Request.QueryString != null)
            {

                for (int i = 0; i < System.Web.HttpContext.Current.Request.QueryString.Count; i++)
                {
                    getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];
                    if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys]))
                    {
                        System.Web.HttpContext.Current.Response.Redirect(sqlErrorPage);
                        System.Web.HttpContext.Current.Response.End();
                    }
                }
            }
            if (System.Web.HttpContext.Current.Request.Form != null)
            {
                for (int i = 0; i < System.Web.HttpContext.Current.Request.Form.Count; i++)
                {
                    getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];
                    if (getkeys == "__VIEWSTATE") continue;
                    if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys]))
                    {
                        System.Web.HttpContext.Current.Response.Redirect(sqlErrorPage);
                        System.Web.HttpContext.Current.Response.End();
                    }
                }
            }
        }
        catch
        {
            // 错误处理: 处理用户提交信息! 
        }
    }
    private bool ProcessSqlStr(string Str)
    {
        bool ReturnValue = true;
        try
        {
            if (Str.Trim() != "")
            {
                string SqlStr = "exec¦insert¦select¦delete¦master¦update¦truncate¦declare";
                string[] anySqlStr = SqlStr.Split('¦');
                foreach (string ss in anySqlStr)
                {
                  if(!Str.ToLower().Contains("updatepanel"))
                  {
                    if (Str.ToLower().IndexOf(ss) >= 0)
                    {
                        ReturnValue = false;
                        break;
                    }
                  }
                }
            }
        }
        catch
        {
            ReturnValue = false;
        }
        return ReturnValue;
    }
    #endregion


http://www.cnblogs.com/wj110reg/articles/952840.html

bobo_keke
关注
专栏目录
ASP注入
yonghengzhimi的专栏
09-13 697
ASP注入漏洞方法 在做安全配置前,我们先了解一下入侵者的攻击手法。现在很流行注入攻击,所谓注入攻击,就是利用提交特殊地址将ASP中引用的正常SQL语句和入侵者所需要的SQL语句一并执行,使入侵者达到入侵的目的。现在更是有一些脚本注入工具发布,使菜鸟也可以轻松完成对ASP的注入攻击。那么我们先来了解一下这些工具是怎样注入的。 首先,入侵者会对一个网站确定可不可以进行注入,假设一篇文章的地址为:http://www.scccn.com/news.asp?id=1一般会以提交两个地址来测试,如:http.
ASP.NET的SQL注入攻击与预 使用SQLServer
wf824284257的博客
02-05 1811
前言 本文通过一个以用户登录为例的示例项目,讲述了SQL注入攻击与预。 示例项目使用了VS2017与SqlServer2008r2,采用WebAPI的架构。 下面让我们从头开始。 开始 Step.1 新建数据库表 在Test数据库下新建users表,含有3个字段(id,uid,pwd). 并添加一条数据。 Step.2 新建ASP.NET项目 打开 VS2017,选择【文件】-&gt;【新建...
止html脚本注入的脚本
04-17
NULL 博文链接:https://username2.iteye.com/blog/1826071
ASP.NET MVC Tip #7 – 使用Html.Encode避免JavaScript注入攻击
screes的专栏
10-10 722
原文地址:http://weblogs.asp.net/stephenwalther/archive/2008/06/23/asp-net-mvc-tip-7-prevent-javascript-injection-attacks-with-html-encode.aspx        摘要:在这个Tip中,你将了解到JavaScript注入攻击可能会比你想象的更加严重。Stephen W
ASP.NET MVC范CSRF最佳实践
anw53724的博客
01-05 186
XSS与CSRF 哈哈,有点标题党,但我保证这篇文章跟别的不太一样。 我认为,网站安全的基础有三块: 范中间人攻击 范XSS 范CSRF 注意,我讲的是基础,如果更高级点的话可以考虑范机器人刷单,再高级点就范DDoS攻击,不过我们还是回到“基础”这个话题上吧,对于中间人攻击,使用HTTPS是正确且唯一的做法,其它都是歪门邪道,最好还要购买各个浏览器都承认的S...
asp.net的sql注入和去除html标记的方法
weixin_30823833的博客
03-27 72
一、 // <summary> /// 过滤标记 /// </summary> /// <param name="NoHTML">包括HTML,脚本,数据库关键字,特殊字符的源码 </param> /// <returns>已经去除标记后的文字</returns> pub...
[转]asp.net MVCSQL注入
weixin_30325487的博客
07-21 1196
引 言 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 SQL注入是从正常的WW...
Liaotianshi.rar_ASP.NET 聊天 源码_asp.net_asp.net 聊天室_liaotianshi_qq
09-24
ASP.NET 是一种基于微软.NET Framework的服务器端网页开发技术,用于构建动态、数据驱动的Web应用程序。这个"Liaotianshi.rar"压缩包提供了一款ASP.NET聊天室的源码,可以帮助开发者理解如何在ASP.NET环境中实现一个...
ASP源码ASP.NET基于web的订餐系统的设计与实现(源代码+论文)
03-08
### ASP.NET基于Web的订餐系统的设计与实现 #### 一、项目背景及意义 随着互联网技术的发展,人们的生活方式发生了翻天覆地的变化。在餐饮领域,传统的线下点餐模式逐渐被线上订餐所取代。为了满足市场的需求,本...
ASP.NET源码——[聊天留言]晶晶Vb.net留言板源码.zip
10-10
ASP.NET的服务器控件如TextBox和Button被用于收集用户输入和触发事件。 2. **事件处理**:VB.NET代码中的事件处理程序响应用户的操作,例如点击“发送”按钮时触发的事件,将新留言保存到数据库。 3. **数据访问层...
ASP.NET毕业设计——asp.net教师教学评价分析系统.zip
09-14
ASP.NET提供了一些内置的安全特性,如参数化查询、验证控件等,可以有效止这些攻击。 8. **性能优化** 对于大型在线系统,性能优化至关重要。开发者可能会采用缓存策略、数据库索引优化、异步处理等方式提高系统...
HTML赋值,止外部注入方法!
weixin_30722589的博客
11-14 155
对于HTML中项目文字的内容设定可能有一下3中方式:$(newOccurPos).text(jsonArray["table_lstRow"][rowData].OccurPos);$(newOccurPos).html(jsonArray["table_lstRow"][rowData].OccurPos);newOccurPos.innerHTML=jsonArray["table_lst...
ASP.NET MVC 迅速集成 SignalR
最新发布
Echo_Wish的博客
09-09 1498
使用 System.Threading.Timer 实现定时任务,每隔一段时间从数据库获取数据并通过 SignalR 更新到客户端。通过以上步骤,你已经成功在 ASP.NET MVC 项目中使用 SignalR 实现了定时任务操作数据库并实时更新网页数据。● 选择 ASP.NET Web Application,命名项目为 RealTimeDataUpdate。首先,创建一个新的 ASP.NET MVC 项目。在项目中安装 SignalR 包,并进行配置。创建一个简单的数据库和模型来存储和获取数据。
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 9035
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3583
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
ASP.NET止SQL注入攻击详解
在实际示例中,ASP.NET应用程序可能存在以下五种常见的安全缺陷: - 篡改参数:攻击者可以通过修改URL参数或HTTP请求头中的值来尝试执行恶意SQL命令。开发者应确保所有参数的来源和内容都是安全的。 - 未过滤特殊...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值