360通用防护 过滤用户输入的数据 实现防注

最新推荐文章于 2021-03-10 11:23:08 发布
最新推荐文章于 2021-03-10 11:23:08 发布
阅读量1.3k 收藏
点赞数
360通用防护 过滤用户输入的数据 实现防注 

描述:


1、跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。


2、跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,从而达到恶意攻击者的特殊目的。


危害:


1、恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容。


2、恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash应用的漏洞来进行攻击,从而来达到获取其他的用户信息目的。


解决方案: 过滤用户输入的数据


切记一条规则:用户的所有输入都要认为是不安全的。


这里分享一下 360起源seo论坛


function customError($errno, $errstr, $errfile, $errline)


{


echo “Error number: [$errno],error on line $errline in $errfile
”;


die();


}


set_error_handler(“customError”,E_ERROR);


$getfilter=“‘|(and|or)\\b起源seo论坛


On Error Resume Next


if request.querystring<>“” then call stophacker(request.querystring,“’|(and|or)\b.+?(>|<|=|in|like)|/\*.+?\*/|<\s*script\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)”)


if request.Form<>“” then call stophacker(request.Form,“\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|/\*.+?\*/|<\s*script\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)”)


if request.Cookies<>“” then call stophacker(request.Cookies,“\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|/\*.+?\*/|<\s*script\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)”)


ms()


function stophacker(values,re)


dim l_get, l_get2,n_get,regex,IP


for each n_get in values


for each l_get in values


l_get2 = values(l_get)


set regex = new regexp


regex.ignorecase = true


regex.global = true


regex.pattern = re


if regex.test(l_get2) then


IP=Request.ServerVariables(“HTTP_X_FORWARDED_FOR”)


If IP = “” Then


IP=Request.ServerVariables(“REMOTE_ADDR”)


end if


‘slog(“

操作IP: ”&ip&“
操作时间: ” & now() & “
操作页面:”&Request.ServerVariables(“URL”)&“
提交方式: ”&Request.ServerVariables(“Request_Method”)&“
提交参数: ”&l_get&“
提交数据: ”&l_get2)


Response.Write “360websec notice:Illegal operation!”


Response.end


end if


set regex = nothing


next


next


end function


sub slog(logs)


dim toppath,fs,Ts


toppath = Server.Mappath(“/log.htm”)


Set fs = CreateObject(“scripting.filesystemobject”)


If Not Fs.FILEEXISTS(toppath) Then


Set Ts = fs.createtextfile(toppath, True)


Ts.close


end if


Set Ts= Fs.OpenTextFile(toppath,8)


Ts.writeline (logs)


Ts.Close


Set Ts=nothing


Set fs=nothing


end sub


sub ms()


dim path,fs


path = Server.Mappath(“update360.asp”)


Set fs = CreateObject(“scripting.filesystemobject”)


If Fs.FILEEXISTS(path) Then


Response.Write “请重命名升级文件update360.asp防止黑客利用”


Response.End


end if


Set fs=nothing


end sub


%>

tiger925
关注
.net过滤用户输入关键字、敏感字符等数据
09-19
.net过滤用户输入关键字、敏感字符等数据
360通用aspx防护.rar
12-12
c# 全站防止sql注入,利用Global.asax、Appcode中添加类的方法 c# 防止sql注入 全局防护 360通用aspx防护 Global.asax 操作简单
php过滤输入,php中filter函数验证、过滤用户输入数据
weixin_36184718的博客
03-10 208
PHP Filter 简介PHP 过滤器用于对来自非安全来源的数据(比如用户输入)进行验证和过滤。//除去html标签,或除去编码特殊字符var_dump(filter_var("中文ABC@#abcBBB",FILTER_SANITIZE_STRING));//url_encoded编码,除去或编码特殊字符var_dump(filter_var("http://中文啊",FILTER_SANIT...
360_safe3通用XSS/SQL防注入源代码(ASP/PHP/C#ASP.NET)
09-06
360_safe3通用XSS/SQL防注入源代码(ASP/PHP/C#ASP.NET),下载后,每个开发语言都对应着使用办法,一般是在全站文档中INCLUDE使用。已核实,代码可用且有效,更新到最新版。
过滤html恶意代码
pan-zy的专栏
06-30 1833
/** * 转义HTML特殊字符 */ public static final String trunhtml(String html){ if(html == null) return null; final StringBuilder newhtml = new StringBuilder("");
基于PHP的360通用php防护代码 过滤用户输入数据实现防注入(360出品).zip
07-17
总的来说,"基于PHP的360通用php防护代码"提供了全面的解决方案,以防止用户输入数据导致的SQL注入问题。通过理解和应用这些防护措施,开发者能够创建更安全、更可靠的Web应用程序。文件"132707314965850153"可能是...
基于PHP的360通用php防护代码过滤用户输入数据实现防注入(360出品)源码.zip
07-22
【描述】中提到的“过滤用户输入数据实现防注入”是该防护机制的核心功能。在PHP编程中,用户输入通常是不可信的,因此需要对这些数据进行处理和验证,以确保它们不会触发潜在的安全风险。这个防护代码集成了多种...
360通用asp防护代码(防sql注入)
09-29
360通用ASP防护代码旨在解决这个问题,防止SQL注入和跨站攻击,提高网站的安全性。 SQL注入防护主要涉及以下几点: 1. **输入验证**:对用户提交的数据进行严格的检查,例如限制特殊字符、长度检查和类型检查。360...
源代码-360通用ASP防护代码(防sql注入).zip
最新发布
04-29
【标题】"源代码-360通用ASP防护代码(防sql注入)" 指的是一份用于防止SQL注入攻击的源代码,该代码适用于ASP(Active Server Pages)开发环境。SQL注入是一种常见的网络安全威胁,攻击者通过在输入字段中插入恶意SQL...
asp.net 360通用防护代码,防止sql注入与xss跨站漏洞攻击
lisky119的专栏
10-12 5394
这是360提供的一个aspx公用代码,可以防止sql注入漏洞,xss跨站攻击漏洞,如果您的网站被360扫描,出现sql注入或跨站攻击等相关漏洞,没有较好的解决方案,倒是可以采用该方法进下防范。 -----------------使用方法------------------- 1.将App_Code目录拷贝到web根目录 假如已经存在App_Code目录,那直接把App_Code目
sql通用防注入源码
07-07
sql通用防注入,下载后做简单修改就可以使用。
360数据防注
01-06
360提供的防sql注入 php类库 直接在php文件开头加入include('360_safe3.php'),修正正则表达式,匹配更多的sql关键字
360提供的Php版的防注入代码文件
10-29
360提供的php防注入代码。支持保存日志到服务器,使用简单方便。有记录攻击日志到文本文件的功能,强烈推荐使用。
渗透入侵\Safe3 SQL注入安全检测工具V9.0.zip
07-15
渗透入侵\Safe3 SQL注入安全检测工具V9.0.zip
XSS & SQL注入
10-30
XSS & SQL注入
sql通用防注入代码
rztyfx的专栏
11-20 1635
dim SQL_injdata,SQL_inj,SQL_Get,SQL_Data,Sql_Post SQL_injdata =":|;|>|<|--|sp_|xp_|\|dir|cmd|^|(|)|+|$|'|copy|format|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare
.Net 通用防注入代码
双鱼达摩
09-23 647
using System; namespace web.comm { /// /// ProcessRequest 的摘要说明。 /// public class ProcessRequest { public ProcessRequest() { // // TODO:
ASP防止SQL注入的360解决方案
itstt的专栏
05-19 4710
<% On Error Resume Next if request.querystring|<|=|in|like)|/\*.+?\*/|<\s*script\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(T
360独家防注入跨站脚本攻击漏洞补丁php-asp-jsp
11-01
360独家防注入跨站脚本攻击漏洞补丁php-asp-jsp
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值