【网站安全】简单的Js脚本攻击sql注入攻击

最新推荐文章于 2024-04-10 22:42:11 发布
最新推荐文章于 2024-04-10 22:42:11 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: JavaScript Jquery Asp.Net
Asp.Net 同时被 3 个专栏收录
62 篇文章 0 订阅
订阅专栏
JavaScript
16 篇文章 0 订阅
订阅专栏
Jquery
14 篇文章 0 订阅
订阅专栏

实训的第一个月过去 了,那个CRM项目也要告一段落了,到了最后老师检查作业的时候。

没想到老师居然要用骚操作来 测试,一上来就来个js脚本攻击,然后接着一个sql注入登陆。

额,mmpd。之前也没这样讲啊。不然肯定不会这样写 啊。什么js剔除关键符号关键字,sql带参数的。

现在想去改,工作量太大了。就做个输入替换处理吧 。

1、关键字符号"<>/-' "替换

data: {
    Action: "getLogin",
    username: ($("#username").val() + "").replace(/<|>|\/|-|'|"/g, ""),
    password: ($("#password").val() + "").replace(/<|>|\/|-|'|"/g, ""),
    LoginVerStr: ($("#verifycode").val() + "").replace(/<|>|\/|-|'|"/g, ""),
},


2、如何批量删除数据库中被注入的代码?

DECLARE @fieldtype sysname
SET @fieldtype='varchar'
--删除处理
DECLARE hCForEach CURSOR GLOBAL
FOR
SELECT N'update '+QUOTENAME(o.name)
    +N' set '+ QUOTENAME(c.name) + N' = replace(' + QUOTENAME(c.name) + ',''<script_src=http://ucmal.com/0.js> </script>'','''')'
FROM sysobjects o,syscolumns c,systypes t
WHERE o.id=c.id
    AND OBJECTPROPERTY(o.id,N'IsUserTable')=1
    AND c.xusertype=t.xusertype
    AND t.name=@fieldtype
EXEC sp_MSforeach_Worker @command1=N'?'

3、创建一个触发器,只要有</script>就不给插入

 ps:对性能会有点影响

 
create trigger tr_table_insertupdate
on tablename
for insert,update
as
if exists (
select 1 from inserted 
where data like '%</script>%'
)
begin
       RAISERROR ('不能修改或者添加',16,1);
       ROLLBACK TRANSACTION
end
go

4、防止sql注入,采用带参数的sql语句

//添加信息
        StringBuilder  sql = new StringBuilder( " insert into m_phone ( pid,PhoneName,num,price,phonetype,onSellTime,color,weight,Video,Camera,phoneSize,phoneSystem,Memorysize,PhoneDesc,Standbytime,ScreenSize,Frequency,InputMethod,Soundrecord,gps,fm,mp3,email,Infrared,game,clock,Calendar,Calculator,Bluetooth)  ");
 
        sql.Append(" values (@pid,@TextPhoneName,@Textnum,@Textprice,@Dropphonetype2,@TextonSellTime,@Textcolor,@Textweight ");
         
        .................
 
        SqlParameter[] paras = { new SqlParameter("@pid", SqlDbType.Int, 4) ,
            new SqlParameter("@TextPhoneName", SqlDbType.NVarChar, 50) , 
            new SqlParameter("@Textnum", SqlDbType.Int, 4) ,
            new SqlParameter("@Textprice", SqlDbType.Int, 4) ,
            new SqlParameter("@Dropphonetype2", SqlDbType.VarChar, 20) ,
            new SqlParameter("@TextonSellTime", SqlDbType.DateTime, 8) ,
            new SqlParameter("@Textcolor", SqlDbType.VarChar, 20) ,
            new SqlParameter("@Textweight", SqlDbType.NVarChar, 50) ,
 
           ...........
        };

5、通过URL传递的参数要用加密解密

传输
string szTmp = "safdsfdsafdsfytrsd";
szTmp = Server.UrlEncode(szTmp); 
接收
STRING STRA=Server.UrlDecode(request.querystring(szTmp));


另外说一句:网上那些被人奉如圣经的过滤 update insert  等关键字的程序是用处不大的   upupdatedate 过滤掉 update还是update
还会造成不必要的麻烦


下面通过两个方面给大家介绍js代码防止sql注入的方法,非常简单实用,感兴趣的朋友参考下吧!

1.URL地址防注入:

//过滤URL非法SQL字符
var sUrl=location.search.toLowerCase();
var sQuery=sUrl.substring(sUrl.indexOf("=")+1);
re=/select|update|delete|truncate|join|union|exec|insert|drop|count|'|"|;|>|<|%/i;
if(re.test(sQuery))
{
alert("请勿输入非法字符");
location.href=sUrl.replace(sQuery,"");
}

2.输入文本框防注入:

function AntiSqlValid(oField )
{
re= /select|update|delete|exec|count|'|"|=|;|>|<|%/i;
if ( re.test(oField.value) )
{
//alert("请您不要在参数中输入特殊字符和SQL关键字!"); //注意中文乱码
oField.value = ";
oField.className="errInfo";
oField.focus();
return false;
}

ps:网上论坛上面,整理得到的。


gx_up
关注
专栏目录
sql注入 js脚本注入 html入侵(自己收集的一些解决方案)欢迎指正
alleged的博客
01-12 1万+
sql注入 js脚本注入 html入侵sql注入简介通俗的讲,SQL注入就是恶意黑客或者竞争对手利用现有的B/S或者C/S架构的系统,将恶意的SQL语句通过表单等传递给后台SQL数据库引擎执行。比如,一个黑客可以利用网站的漏洞,使用SQL注入的方式取得一个公司网站后台的所有数据。试想一下,如果开发人员不对用户传递过来的输入进行过滤处理,那么遇到恶意用户的时候,并且系统被发现有漏洞的时候,后果将是令人
脚本攻击和sql语句注入安全问题
飞火龙在天的博客
09-08 928
脚本攻击和sql语句漏洞是两大基本的安全漏洞,也是最常见的安全漏洞。 脚本攻击: 方案一: public class XSSFilter { public static String filter(String val) { if (val != null) { return val.replaceAll("\"", "&#34;"); ...
安全测试:脚本攻击SQL注入攻击
MaggieMiaoMiao的博客
06-02 831
前者主要存在于web应用程序从用户处获取的输入,对输入的字符串没有进行验证就直接在web页面上显示了。如果是普通的字符串,则不会有任何问题,但如果是包含脚本的字符串,例如Javascript,则脚本会被目标浏览器解析,从而触发脚本的执行,完成恶意用户希望的功能,例如窃取Cookies,伪装用户与服务器交互。 后者产生的原因主要是因为程序接受用户界面的输入而没有进行验证,并且直接使用字符串连接的方
js脚本攻击
qq_43288275的博客
09-27 2970
有的时候页面中会有一个输入框,用户输入内容后会显示在页面中,类似于网页聊天应用。如果用户输入了一段js脚本,比例:,页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的目的。那如何防止这种恶意的js脚本攻击呢?通过html转义能解决这个问题。 一:什么是html转义? html转义是将特殊字符或html标签转换为与之对应的字符。如:&lt; 会转义为 ...
js脚本攻击大全
07-18
js脚本攻击大全,各种JS脚本代码,防止js注入
sql注入测试脚本
03-17
sql注入常用的测试语句大全,方便进行渗透测试和sql注入测试。
预防XSS攻击SQL注入XssFilter
05-19
对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取...
跨站脚本攻击SQL注入的研究与防范.pdf
09-19
跨站脚本攻击(Cross-Site Scripting,简称XSS)和SQL注入是两种常见的网络安全威胁,它们在互联网环境中对用户数据和系统安全构成了严重挑战。本文将深入探讨这两种攻击方式的工作原理、危害以及防范措施。 一、跨...
js/sql注入简易工具源代码
03-18
【防js/sql注入简易工具源代码】是一种针对Web应用程序的安全防护解决方案,主要目的是防止恶意用户通过JavaScript(js)和SQL(结构化查询语言)注入攻击来破坏或控制网站。源码提供了一种简单的方法,使得开发者...
JavaScript过滤SQL注入字符
08-05
JavaScript作为客户端脚本语言,虽然主要负责与用户交互,但也可以在防止SQL注入方面发挥作用。本文将深入探讨如何利用JavaScript进行SQL注入的过滤。 一、理解SQL注入 SQL注入是指攻击者在用户输入的数据中插入...
JS代码防止SQL注入的方法(超简单)
10-22
下面通过两个方面给大家介绍js代码防止sql注入的方法,非常简单实用,感兴趣的朋友参考下吧
基于jQuery的SQL注入攻击防范实现
12-29
现今实现防止SQL 注入攻击主要是在服务器端实现, 实现的方法主要有基于正则表达式的输入验证、敏感字符的 改写、部分数据加密。上述方法的缺点主要体现在以下的几个方面, 其一, 服务端处理数据使系统资源被过分占用, 容易 造成服务器端拒绝服务; 其二, 编写动态网页的脚本语言多样化, 每种脚本对应一种防止SQL注入方法, 使程序不具有可 读性、标准性。文中着力解决基于服务器端处理SQL 注入攻击的缺陷, 故探寻了一种在客服端实现的基于jQuery 防止 SQL 注入攻击的方法, 其目的是使攻击在客服端就被拦截, 同时利用jQuery开放性的特点使w eb程序更具有可移植性。
SQL注入的其他攻击思路方法与Python脚本设计思路
最新发布
m0_74220316的博客
04-10 1167
start . cookies } ") print(f"是否存在SQL注入漏洞 : {start . sqli_scan_res } ") print(f"SQL注入漏洞类型是 : {start . sqli_vul_type } ") print(f"目标数据库类型是 : {start . cookies } ") print(f"是否存在SQL注入漏洞 : {start . sqli_scan_res } ") print(f"SQL注入漏洞类型是 : {
XSS漏洞之js脚本攻击
Decadent丶沉沦の博客
09-29 1771
XSS攻击之对前端脚本做校验
解决“<script src=http://3b3.org/c.js> </script>”SQL注入方法
旺仔专栏
06-12 2541
    前两天听一同学讲他们公司做的一个系统被人家 SQL 注入了, 使得数据库中很多数据全部都乱了,导致系统几近瘫痪, 于是在网上疯狂的搜索解决方案,皇天不负苦心人,最终终于在 http://www.21004.com/post/77.html 找到了解决方案,全文如下:    近段时间很多站长反映" " SQL注入非常猖獗,很多站都被注入这个代码,到目前为止被这个恶意代码威胁的网页至少有203,000页面,其中不少还是行业内知名网站。很多站长对这个注入的方式认识非常少,一旦被注入以后总是治标不治本。笔
sql注入攻击
gaisidewangzhan1的博客
05-15 764
转载::常见攻击方式一般说来,在Web安全领域,常见的攻击方式大概有以下几种:1、SQL注入攻击2、跨站脚本攻击 - XSS3、跨站伪造请求攻击 - CSRF4、文件上传漏洞攻击5、分布式拒绝服务攻击 - DDOSSQL注入产生的原因,和栈溢出、XSS等很多其他的攻击方法类似,就是未经检查或者未经充分检查的用户输入数据,意外变成了代码被执行。也就是,SQL注入是用户输入的数据,在拼接SQL语句的过...
sql注入脚本1
m0_55772907的博客
05-01 989
sqllab第一关验证poc import requests import re url = input("输入你的url:") r = requests.get(url) res = str(r.content) if re.search("syntax",res): print("存在sql注入") else: print("不存在")
js脚本注入sql注入
你好_晴天
02-14 2046
注入攻击
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值