asp.net 360通用防护代码,防止sql注入与xss跨站漏洞攻击

最新推荐文章于 2024-05-05 15:35:51 发布
最新推荐文章于 2024-05-05 15:35:51 发布
阅读量5.3k 收藏 2
点赞数
分类专栏: asp.net/C# 网站运营-优化 文章标签: asp.net 漏洞 sql注入 解决方案 网站安全

这是360提供的一个aspx公用代码,可以防止sql注入漏洞,xss跨站攻击漏洞,如果您的网站被360扫描,出现sql注入或跨站攻击等相关漏洞,没有较好的解决方案,倒是可以采用该方法进下防范。

-----------------使用方法-------------------

1.将App_Code目录拷贝到web根目录

假如已经存在App_Code目录,那直接把App_Code目录里的360safe.cs文件拷贝到当前的App_Code目录即可。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
using  System;
using  System.Web;
using  System.Text;
using  System.Text.RegularExpressions;
public  class  safe_360
{
     private  const  string  StrRegex =  @"<[^>]+?style=[\w]+?:expression\(|\b(alert|confirm|prompt)\b|^\+/v(8|9)|<[^>]*?=[^>]*?&#[^>]*?>|\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|/\*.+?\*/|<\s*script\b|<\s*img\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)" ;
     public  static  bool  PostData()
     {
         bool  result =  false ;
         for  ( int  i = 0; i < HttpContext.Current.Request.Form.Count; i++)
         {
             result = CheckData(HttpContext.Current.Request.Form[i].ToString());
             if  (result)
             {
                 break ;
             }
         }
         return  result;
     }
  
     public  static  bool  GetData()
     {
         bool  result =  false ;
         for  ( int  i = 0; i < HttpContext.Current.Request.QueryString.Count; i++)
         {
             result = CheckData(HttpContext.Current.Request.QueryString[i].ToString());
             if  (result)
             {
                 break ;
             }
         }
         return  result;
     }
     public  static  bool  CookieData()
     {
         bool  result =  false ;
         for  ( int  i = 0; i < HttpContext.Current.Request.Cookies.Count; i++)
         {
             result = CheckData(HttpContext.Current.Request.Cookies[i].Value.ToLower());
             if  (result)
             {
                 break ;
             }
         }
         return  result;
     
     }
     public  static  bool  referer()
     {
         bool  result =  false ;
         return  result = CheckData(HttpContext.Current.Request.UrlReferrer.ToString());
     }
     public  static  bool  CheckData( string  inputData)
     {
         if  (Regex.IsMatch(inputData, StrRegex))
         {
             return  true ;
         }
         else
         {
             return  false ;
         }
     }
}

2.将Global.asax文件拷贝到web根目录

假如已经存在Global.asax文件,那直接把下面这段代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
      void  Application_BeginRequest( object  sender, EventArgs e)
     {
             if  (Request.Cookies !=  null )
             {
                 if  (safe_360.CookieData())
                 {
                     Response.Write( "您提交的Cookie数据有恶意字符!" );
                     Response.End();
                 
                 }
            
             }
             if  (Request.UrlReferrer !=  null )
             {
                 if  (safe_360.referer())
                 {
                     Response.Write( "您提交的Referrer数据有恶意字符!" );
                     Response.End();
                 }
             }
             if  (Request.RequestType.ToUpper() ==  "POST" )
             {
                 if  (safe_360.PostData())
                 {
                     Response.Write( "您提交的Post数据有恶意字符!" );
                     Response.End();
                 }
             }
             if  (Request.RequestType.ToUpper() ==  "GET" )
             {
                 if  (safe_360.GetData())
                 {
                     Response.Write( "您提交的Get数据有恶意字符!" );
                     Response.End();
                 }
             }           
     }

拷贝到当前的Global.asax文件里保存。
lisky119
关注
专栏目录
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性文章,希望对您有所帮助~
20年时候收集的一些信息安全岗面试题
课嗨教育的专栏
05-02 7788
目录 面试一 面试二 面试三 更多资料可:渗透测试基础课-课程进度_课嗨教育的博客-CSDN博客 面试一 个人介绍: 自我介绍要点:不要用长逻辑句,短小精悍 控制在3-4分钟 1、自我介绍姓名年龄哪里人学校情况不是重点,作为顺滑开场 2、经历与技能啥时候开始学web攻防,实习经历(神舟,做了什么;尚然,做了什么),让人家清楚历史引入技术主题,挑重点 3、业绩/成绩: 研究类:freebuff SRC I春秋...
360_safe3通用XSS/SQL防注入源代码(ASP/PHP/C#ASP.NET
09-06
360_safe3通用XSS/SQL防注入源代码(ASP/PHP/C#ASP.NET),下载后,每个开发语言都对应着使用办法,一般是在全站文档中INCLUDE使用。已核实,代码可用且有效,更新到最新版。
ASP防止SQL注入360解决方案
itstt的专栏
05-19 4710
<% On Error Resume Next if request.querystring|<|=|in|like)|/\*.+?\*/|<\s*script\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(T
ASP.Net防范XSS漏洞攻击的利器HtmlSanitizer
dotNET跨平台
05-05 4041
项目名称:HtmlSanitizer NuGet安装指令:Install-Package HtmlSanitizer 官方网站:https://github.com/mganss/HtmlSanitizer  开源协议:MIT 可靠程度:更新活跃,目前已经是3.x版,成熟靠谱。   1、  什么是XSS漏洞? XSS漏洞又称为“跨站脚本”漏洞,指的是网站对于用户输入的内容不加甄别的原
360通用asp防护代码(防sql注入)
09-29
这个是360出的防sql注入的源码,可以防止注入漏洞跨站攻击漏洞,如果您的网站360扫描,不管怎么修改都报毒请用这个代码试试看。这是360提供的一个asp公用代码,效果不错哦。
sql通用防注入源码
07-07
sql通用防注入,下载后做简单修改就可以使用。
219-6-3Google浏览器书签备份
qq_43046057的博客
06-03 3624
WAF 创建时间 2019-03-11 12:45:27 最后修改 2019-04-03 14:02:50>> 书签名称 链接 添加时间 WEB漏洞测试(二)——HTML注入 & XSS攻击 - CSDN博客 http://www.secsky.cn/216.html 2018-05-15 10:45:24 ModSecurity介绍 - CSDN博客...
2024年企业常见网络 安全面试题(2),我把所有网络安全框架整理成了PDF
最新发布
2401_84545364的博客
05-05 898
36、ACL隐含规则答:1)华为允许所有的匹配规则2)华为拒绝所有的匹配规则37、ACL特点1)acl对设备本身的始发流量不起作用,只对经过的流量起作用38、NAT是什么答:–网络地址转换39、NAT的作用答:1)在节约ipv4地址的前提下,实现大量内网主机与公网通信2)在一定程度下对内网起到保护作用,隐藏公司网络和IP40、NAT的分类答:1)napt----大型企业用2)easy-ip—小型企业用–利用出接口做nat。
世界观安全
hacckjacking
08-06 675
「第二篇」客户端脚本安全 批注 [……] 表示他人、自己、网络批注 参考资料来源于 * 书中批注 * CSDN * GitHub * Google * 维基百科 * YouTube * MDN Web Docs ...
360通用php防护代码
04-18
360通用php防护代码 -----------------使用方法------------------------------------------------------------------ 1.将360_safe3.php传到要包含的文件的目录 2.在页面中加入防护,有两种做法,根据情况二选一即可: a).在所需要防护的页面加入代码 require_once('360_safe3.php'); 就可以做到页面防注入、跨站 如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('360_safe3.php');来调用本代码 常用php系统添加文件 PHPCMS V9 \phpcms\base.php PHPWIND8.7 \data\sql_config.php DEDECMS5.7 \data\common.inc.php DiscuzX2 \config\config_global.php Wordpress \wp-config.php Metinfo \include\head.php b).在每个文件最前加上代码 在php.ini中找到: Automatically add files before or after any PHP document. auto_prepend_file = 360_safe3.php路径;
360通用aspx防护.rar
12-12
c# 全站防止sql注入,利用Global.asax、Appcode中添加类的方法 c# 防止sql注入 全局防护 360通用aspx防护 Global.asax 操作简单
360数据库防注入
01-06
360提供的防sql注入 php类库 直接在php文件开头加入include('360_safe3.php'),修正正则表达式,匹配更多的sql关键字
通用aspx防止注入代码
12-06
360通用aspx防护代码 -----------------使用方法------------------------------------------------------------------ 1.将App_Code目录拷贝到web根目录 假如已经存在App_Code目录,那直接把App_Code目录里的360safe.cs文件拷贝到当前的App_Code目录即可。 2.将Global.asax文件拷贝到web根目录 假如已经存在Global.asax文件,那直接把下面这段代码 void Application_BeginRequest(object sender, EventArgs e) { if (Request.Cookies != null) { if (safe_360.CookieData()) { Response.Write("您提交的Cookie数据有恶意字符!"); Response.End(); } } if (Request.UrlReferrer != null) { if (safe_360.referer()) { Response.Write("您提交的Referrer数据有恶意字符!"); Response.End(); } } if (Request.RequestType.ToUpper() == "POST") { if (safe_360.PostData()) { Response.Write("您提交的Post数据有恶意字符!"); Response.End(); } } if (Request.RequestType.ToUpper() == "GET") { if (safe_360.GetData()) { Response.Write("您提交的Get数据有恶意字符!"); Response.End(); } } } 拷贝到当前的Global.asax文件里保存。
360通用asp防护代码
01-16
360通用asp防护代码 在所需要防护的页面加入代码 就可以做到页面防注入、跨站 如果想整站防注,就在网站的一个公用文件中,如数据库链接文件conn.asp中! 添加来调用本代码
sql通用防注入代码
rztyfx的专栏
11-20 1635
dim SQL_injdata,SQL_inj,SQL_Get,SQL_Data,Sql_Post SQL_injdata =":|;|>|<|--|sp_|xp_|\|dir|cmd|^|(|)|+|$|'|copy|format|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare
SQL注入-绕过SQL通用防注入系统
Jiajiajiang_的博客
11-08 2905
当我们输入特殊字符,类似于单引号,and,or等时,经常会被注入系统拦截,并且这种是没有记录日志的。 现在我们尝试绕过,get型的请求会被拦截,那post呢。 emmm....也被拦了 这个站点是asp的,那我们尝试用cookie传参, 我们发现没有被防注入系统拦截。 因此构造sqlmap语句 sqlmap.py -u "http://www.xxxxx.com/...
如何预防SQL注入XSS攻击
一个傻子程序媛的博客
06-10 5197
SQL注入简介 SQL 注入漏洞(SQL Injection)是 Web 开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。 而造成 SQL 注入的原因是因为程序没有有效的转义过滤用户的输入,使攻击者成功的向服务器提交恶意的 SQL 查询代码,程序在接收后错误的将攻击者的输入作为查询语句...
.net解决Xss攻击
imherer的博客
09-11 1413
首先要明白什么是Xss攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 数据来源...
Web安全编程规范:防止SQL注入XSS攻击
"SQL注入XSS跨站攻击安全规范1" SQL注入XSS跨站攻击是两种常见的网络安全威胁,主要源于开发过程中对用户输入数据处理不当。此文档旨在为开发人员提供关于如何防范这两种攻击安全编码规范。 一、SQL注入攻击...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值