sp防注入代码和防cookie注入代码

最新推荐文章于 2022-05-06 14:31:18 发布
最新推荐文章于 2022-05-06 14:31:18 发布
阅读量1.2k 收藏
点赞数
分类专栏: asp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huaishitou/article/details/23183511
版权

asp防注入代码和防cookie注入代码


以前只知道日站不知道安全。这几天略微了解了一些。把自己这几天常用的asp防注入代码和防cookie注入代码发到自己博客上来。仅作记录方便以后查看。

<%
Response.Buffer = True   '缓存页面
'防范get注入
If Request.QueryString <> ""   Then StopInjection(Request.QueryString)
'防范post注入
If Request.Form <> ""   Then StopInjection(Request.Form)
'防范cookies注入
If Request.Cookies <> ""   Then StopInjection(Request.Cookies)
'正则子函数
Function StopInjection(Values)
Dim regEx
Set regEx = New RegExp
regEx.IgnoreCase = True
regEx.Global = True
regEx.Pattern = "'|;|#|([\s\b+()]+(select|update|insert|delete|declare|@|exec|dbcc|alter|drop|create|backup|if|else|end|and|or|add|set|open|close|use|begin|retun|as|go|exists)[\s\b+]*)"
Dim sItem, sValue
For Each sItem In Values
sValue = Values(sItem)
If regEx.Test(sValue) Then
Response.Write "<Script Language=javascript>alert('非法注入!你的行为已被记录!!');history.back(-1);</Script>"
Response.End
End If
Next
Set regEx = Nothing
End function
%>

使用方法:“把上面代码复制到conn.asp文件中放到文件最上方就可以了。(ps:如果你改名的话就放到数据库连接文件中不要符文代码前后的<%%>)”

其他方法代码:


放入conn.asp中(拒绝攻击 万能Asp防注入代码)
第一种:

squery=lcase(Request.ServerVariables("QUERY_STRING"))
sURL=lcase(Request.ServerVariables("HTTP_HOST"))

SQL_injdata =":|;|>|<|--|sp_|xp_|\|dir|cmd|^|(|)|+|$|'|copy|format|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"

SQL_inj = split(SQL_Injdata,"|")

For SQL_Data=0 To Ubound(SQL_inj)
if instr(squery&sURL,Sql_Inj(Sql_DATA))>0 Then
Response.Write "SQL防注入系统"
Response.end
end if
next
 

 

 

第二种:
SQL_injdata =":|;|>|<|--|sp_|xp_|\|dir|cmd|^|(|)|+|$|'|copy|format|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"

SQL_inj = split(SQL_Injdata,"|")
If Request.QueryString<>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))>0 Then
Response.Write "SQL通用防注入系统"
Response.end
end if
next
Next
End If

If Request.Form<>"" Then
For Each Sql_Post In Request.Form
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0 Then
Response.Write "SQL通用防注入系统"
Response.end
end if
next
next
end if

 

 

on error resume next   '这行代码放到conn.asp的第一行。

'防止注入
dim qs,errc,iii
qs=request.servervariables("query_string")
'response.write(qs)
dim deStr(18)
deStr(0)="net user"
deStr(1)="xp_cmdshell"
deStr(2)="/add"
deStr(3)="exec%20master.dbo.xp_cmdshell"
deStr(4)="net localgroup administrators"
deStr(5)="select"
deStr(6)="count"
deStr(7)="asc"
deStr(8)="char"
deStr(9)="mid"
deStr(10)="'"
deStr(11)=":"
deStr(12)=""""
deStr(13)="insert"
deStr(14)="delete"
deStr(15)="drop"
deStr(16)="truncate"
deStr(17)="from"
deStr(18)="%"
errc=false
for iii= 0 to ubound(deStr)
if instr(qs,deStr(iii))<>0 then
errc=true
end if
next
if errc then
Response.Write("对不起,非法URL地址请求!")
response.end
end if

 

其他写法
 

把下面的代码保存在公用文件里就可以防止注入扫描了,比方说conn.asp 里,根据多年开发的经验建议将网站后台和前台分离,后台一个conn.asp 前台一个conn.asp 前台conn.asp加如下代码
<% 
Dim flashack_Post,flashack_Get,flashack_In,flashack_Inf,flashack_Xh,flashack_db,flashack_dbstr 
flashack_In "'※;※and※exec※insert※select※delete※update※count※*※%※chr※mid※master※truncate※char※declare" 
flashack_Inf split(flashack_In,"※") 
If Request.Form<>"" Then 
For Each flashack_Post In Request.Form 

For flashack_Xh=0 To Ubound(flashack_Inf) 
If Instr(LCase(Request.Form(flashack_Post)),flashack_Inf(flashack_Xh))<>0 Then 
Response.Write "<Script Language=JavaScript>alert('flashack防注入系统提示你↓\n\n请不要在参数中包含非法字符尝试注入');</Script>" 
Response.Write "非法操作!系统做了如下记录↓<br>" 
Response.Write "操作IP:"&Request.ServerVariables("REMOTE_ADDR")&"<br>" 
Response.Write "操作时间:"&Now&"<br>" 
Response.Write "操作页面:"&Request.ServerVariables("URL")&"<br>" 
Response.Write "提交方式:POST<br>" 
Response.Write "提交参数:"&flashack_Post&"<br>" 
Response.Write "提交数据:"&Request.Form(flashack_Post) 
Response.End 
End If 
Next 
Next 
End If 
If Request.QueryString<>"" Then 
For Each flashack_Get In Request.QueryString 
For flashack_Xh=0 To Ubound(flashack_Inf) 
If Instr(LCase(Request.QueryString(flashack_Get)),flashack_Inf(flashack_Xh))<>0 Then 
Response.Write "<Script Language=JavaScript>alert('flashack防注入系统提示你↓\n\n请不要在参数中包含非法字符尝试注入');</Script>" 
Response.Write "非法操作!flashack已经给你做了如下记录↓<br>" 
Response.Write "操作IP:"&Request.ServerVariables("REMOTE_ADDR")&"<br>" 
Response.Write "操作时间:"&Now&"<br>" 
Response.Write "操作页面:"&Request.ServerVariables("URL")&"<br>" 
Response.Write "提交方式:GET<br>" 
Response.Write "提交参数:"&flashack_Get&"<br>" 
Response.Write "提交数据:"&Request.QueryString(flashack_Get) 
Response.End 
End If 
Next 
Next 
End If 
%> 

 

 ===== 以下为摘录======================
 

 网页防篡改
 

 一,Stream开关可自由设置,ASP中的ADODB.Stream 对象用来操作二进制或文本数据的流。通常用于无组件上传和验证码等功能。关闭该组件可以提高网站安全。 Fso开关也可自由设置,FSO(FileSystemObject)是微软ASP的一个对文件操作的控件,该控件可以对服务器进行读取、新建、修改、删除目录以及文件的操作。关闭该组件有利于提高网站安全。
 

 二,假设网站建好后,今后一段时间都不会再用到ftp上传功能,这时可以暂时关闭FTP上传,有助于提高网站的安全,即使ftp密码泄露,黑客也不能操作空间内的文件,设置后60秒后生效。
 

 三,另外还可设置脚本权限与写入权限,如果网站只使用了asp,可设置为只开放asp权限。这样黑客即使上传了php的木马到空间也不能运行,最少的权限=最大的安全。写入权限设置则系统支持全国领先的目录权限设置,允许关闭网站的写入权限,锁定虚拟主机。对安全有重要意义,例如可以将access数据库放在databases目录,而将wwwroot目录的写入权限关闭,令asp木马根本无法上传,这样比关闭FSO更安全。
 


                

        

        

    

  


    

      

        

            

              
                
                  huaishitou
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
【SQL注入-10】cookie注入案例—以Sqli-labs靶机第less20关为例(借助BurpSuite工具)

				
			

			

				

					m0_64378913的博客
				

				

					05-06
					
					2027
					
				

			

		

		

			
				
目录1 cookie注入概述2 cookie注入案例2.1 实验平台2.2 实验过程3.1 前戏
1 cookie注入概述
定义:cookie注入其原理也和平时的注入一样,只不过说我们是将提交的参数以cookie的方式提交。
一般的注入我们是使用get或者post方式提交:
get方式提交就是直接在网址后面加上需要注入的语句;
post则是通过表单方式,
get和post的不同之处就在于一个我们可以通过IE地址栏处看到我们提交的参数,而另外一个却不能。
2 cookie注入案例
2.1 实验平台
靶机:Ce

			
		

	



                

            
              



	

		

			

				
					
DedeCMS V5.7sp2最新版本parse_str函数SQL注入漏洞

				
			

			

				

					网站安全资讯
				

				

					08-10
					
					369
					
				

			

		

		

			
				
织梦dedecms,在整个互联网中许多企业网站,个人网站,优化网站都在使用dede作为整个网站的开发架构,dedecms采用php+mysql数据库的架构来承载整个网站的运行与用户的访问,首页以及栏目页生成html静态化,大大的加快的网站访问速度,以及搜索引擎的友好度,利于百度蜘蛛的抓取,深受广大站长以及网站运营者的喜欢。最近我们发现dedecms漏洞,存在高危的parse_str函数sql注入漏...

			
		

	



              


  
              

                


	

		

			

				
					
御ASP里的Cookies注入攻击

				
			

			

				

					冷却
				

				

					03-25
					
					979
					
				

			

		

		

			
				
      ASP里的SQL注入攻击可谓是众ScriptBoy(脚本小子)皆知了,因其技术的简易性而使得这项攻击技术非常容易入门,所以也对许多网站造成了不小的危害,于是就有人为了御这种攻击而写出的一种叫SQL注系统的小程序,其主要原理是过滤掉通过Get方式和Post方式提交的参数里的非法数据,但却没有想到Cookies的参数会有什么问题,于是也就没有做过滤,但是不久后,就有人提出了绕过注系统

			
		

	





	

		

			

				
					
cookies注入

				
			

			

				

					12-06
				

			

		

		

			
				
cookies注入

			
		

	



		

			
		



	

		

			

				
					
如何防止cookie注入_PHP如何防止注入及开发安全

				
			

			

				

					weixin_39604516的博客
				

				

					01-22
					
					481
					
				

			

		

		

			
				
1、PHP注入的基本原理  程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL 注入。 受影响的系统:对输入的参数不进行检查和过滤的系统SQL注入过程正常来讲,我们通过地址接收一些必要的参数如:PHP...

			
		

	





	

		

			

				
					
asp注入代码 过滤 get post cookies 

				
			

			

				

					jsglzj的专栏
				

				

					03-08
					
					1198
					
				

			

		

		

			
				
  Dim Fy_Post,Fy_Get,Fy_cook,Fy_In,Fy_Inf,Fy_Xh,Fy_db,Fy_dbstr,aa ,bbOn Error Resume Next Fy_In = "|exec|insert|select|delete|update|count|chr|truncate|char|declare|script|iframe|char|set|(*)" aa="he

			
		

	





	

		

			

				
					
asp中如何cookie注入

				
			

			

				

					yzhjisji的专栏
				

				

					08-18
					
					1579
					
				

			

		

		

			
				
该文件可以包含在任何需要调用数据库的ASP文件头部,直接过虑掉非法注入 调用方法为: Dim Fy_Post,Fy_Get,Fy_cook,Fy_In,Fy_Inf,Fy_Xh,Fy_db,Fy_dbstr,aa,numOn Error Resume Nextnum = 100	新定义参数 指定字符长度Fy_In = "|exec|insert|select|delete|update|d

			
		

	





	

		

			

				
					
aspcookie欺骗/注入原理与

				
			

			

				

					abc20041012的博客
				

				

					04-10
					
					249
					
				

			

		

		

			
				
一直以来sql注入被广泛关注,也有专门的注系统代码。发现,如果代码不严谨也会有cookie欺骗/注入的情况。原来, 注入系统没有注意到 Cookies 的问题!这里以ASP为例,分析一下cookie欺骗/注入的产生。


ASP获取参数主要有下面两种:http://www.111cn.net/asp/5/58615.htm
Request.QueryString ...

			
		

	





	

		

			

				
					
刷新投票系统 sp1

				
			

			

				

					03-31
				

			

		

		

			
				
5. **安全性考虑**:确保投票系统的安全至关重要,需要范SQL注入、跨站脚本攻击等,使用预编译语句、转义特殊字符等方法加强护。  总结来说,"刷新投票系统SP1"是一个基础但实用的投票系统,借助ASP源码,...

			
		

	





	

		

			

				
					
注入技巧收集.txt

				
			

			

				

					07-18
				

			

		

		

			
				
8. **Cookie注入**:  - 通过JavaScript注入的方式修改客户端的Cookie值,进而实现身份盗用等目的。   9. **操作系统层面的配置查看**:  - 在Windows 2000中,可以使用`net config workstation`命令查看工作站的...

			
		

	





	

		

			

				
					
C#+Cookies防止重复操作代码

				
			

			

				

					08-30
				

			

		

		

			
				
C#防止客户端对同一个id重复操作,C#+Cookies防止重复操作,可以用于在线投票系统、评论帖子系统、顶、赞等

			
		

	





	

		

			

				
					
【SQL注入-11】base64注入案例—以Sqli-labs-less22为例(借助BurpSuite工具)

				
			

			

				

					m0_64378913的博客
				

				

					05-06
					
					3080
					
				

			

		

		

			
				
目录1 base64注入概述1.1 base64编码基础1.2 base64编码与URL编码1.3 base64注入2 base64注入案例2.1 实验平台2.2  实验过程2.2.1  注入前准备2.2.2  判断注入点及注入类型2.2.3  尝试使用union查询2.2.4  获取库名表名字段名字段内容
1 base64注入概述
1.1 base64编码基础
定义:Base64是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一种基于64个可打印字符来表示二进制数据的方法。
Base

			
		

	





	

		

			

				
					
SQL服务器注入攻击的主动御技术研究

				
			

			

				

					u014062923的专栏
				

				

					03-12
					
					417
					
				

			

		

		

			
				
随着网络信息技术的不断发展应用,网络运行的安全性也越来越重要,尤其是在复杂的网络环境中,一旦发生不安全网络事故,对于网络的危害极其严重。SQL服务器注入攻击就是一种常见的并且最具危害性的网络不安全因素。在网络安全领域中,虽然SQL服务器注入攻击的出现比较早,但是对于网络安全产生的威胁作用与地位仍然十分突出,是网络安全领域研究和关注的一个重点。通常情况下,SQL服务器注入攻击是黑客对网络数据库进行攻

			
		

	





	

		

			

				
					
cookie注入

				
			

			

				

					Sea_Sand息禅
				

				

					12-18
					
					1045
					
				

			

		

		

			
				
有个靶场上的一道题,只要在id后面进行测试,立马弹窗,得不到任何信息。

这是个很好的WAF过滤,一个asp的网页,所以用cookie注入。

asp网页能用cookie注入,php不能。

(语句执行在url地址栏里,每次注入语句执行后,都要访问对应的asp文件,才会出结果,就是刷新一下就行)




javascript:alert(document.cookie="id="+escape("...

			
		

	





	

		

			

				
					
[转贴]另类的注射攻击——Cookies Injection

				
			

			

				

					Nest of Nonsenser
				

				

					12-13
					
					1591
					
				

			

		

		

			
				
文章作者:linzi[B.C.T](linzi.cnbct.org)信息来源:邪恶八进制信息安全团队(www.eviloctal.com)一、目标的锁定MSN上朋友icerover发信息过来和我讨论了些关于cookie注射的问题,刚好那时读蚂蚁影院系统的代码,也正好发现了其chageusr.asp. 存在cookie注射漏洞,这里简要分析其代码:====================code==

			
		

	





	

		

			

				
					
服务器级别防止Sql 注入

				
			

			

				

					wph_1129一直为改变|技术blog:wph4u.net
				

				

					05-18
					
					897
					
				

			

		

		

			
				
任何一种使用数据库web程序都有被SQL注入的风险。防止被SQL注入,一般都是在代码级别来范,阻止这种可能。不过还有一种就是服务器级别的范组织SQL注入,目前针对IIS服务器,也就是ASP和ASP.NET的web程序,貌似是免费的。不知道以后会不会收费。

UrlScan

			
		

	





	

		

			

				
					
COOKIE安全与

					
热门推荐

				
			

			

				

					cheeseandcake的博客
				

				

					05-28
					
					1万+
					
				

			

		

		

			
				
目     录
 
摘要
关键词
一、
引言 
二、 COOKIE概述 
三、 COOKIE安全分析 
四、 COOKIE惯性思维 
五、 COOKIE护 
六、
总结 
七、
参考文献: 15


摘要:Cookie是一小段文本信息,只能保存字符串,伴随着用户请求和页面在Web服务器和浏览器间传递,用来保持Web中的回话状态和缓存信息,记录用户的状态。Cooki

			
		

	





	

		

			

				
					
用户登录安全性的简单实例分析(Cookie、加密)

				
			

			

				

					KevinJom的专栏
				

				

					04-19
					
					1949
					
				

			

		

		

			
				
用户登录安全性的简单实例分析(Cookie、加密)
                                                              
关键字:Cookie;DES加解密算法;安全性;权限;
下面是以前写的一篇文章,不一定会在目前的实际项目中应用,所以仅作为个人的业余读书、业余爱好。
 
从事hack的朋友可能会经常提到SQL注入、暴库、COOK

			
		

	





	

		

			

				
					
java cookie注入_java-将cookie注入WebView不起作用

				
			

			

				

					weixin_33224795的博客
				

				

					02-13
					
					157
					
				

			

		

		

			
				
我在将cookie注入login.php页面时遇到一些问题.这是代码:LinearLayout lLayout = (LinearLayout)findViewById(R.id.linearlayoutIdLogin);lLayout.setVisibility(View.GONE); //make my standard layout inivisibleLinearLayout lWeb =...

			
		

	





	

		

			

				
					
SQL注入攻击详解与护策略

				
			

			

				

					
				

			

		

		

			
				
9. **定期审计和更新**:定期审查代码,确保没有新的注入漏洞,并及时应用安全更新和补丁。  10. **安全编码培训**:对开发团队进行安全编码的培训,提高他们对SQL注入和其他安全威胁的认识。  通过以上措施,可以...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值