网站跨站点脚本,Sql注入等攻击的处理

最新推荐文章于 2021-12-29 08:43:51 发布
最新推荐文章于 2021-12-29 08:43:51 发布
阅读量170 收藏
点赞数
文章标签: php 数据库

从360安全论坛里找到的一段代码,经过整理封装,直接在站点Global.asax文件或写一个HttpModule来拦截恶意请求即可;

http://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=711&page=1&extra=#pid1927 

using System.Text.RegularExpressions;
using System.Web;

/// <summary>
/// Web请求安全检查:防止跨站点脚本,Sql注入等攻击,来自:http://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=711&page=1&extra=#pid1927
/// 检查数据包括:
/// 1.Cookie
/// 2.当前页面地址
/// 3.ReferrerUrl
/// 4.Post数据
/// 5.Get数据
/// </summary>
public class Safe360
{
    #region 执行安全检查

    /// <summary>
    /// 执行安全检查
    /// </summary>
    public static void Procress()
    {
        const string errmsg =
            "<div style='position:fixed;top:0px;width:100%;height:100%;background-color:white;color:green;font-weight:bold;border-bottom:5px solid #999;'><br>您的提交带有不合法参数,谢谢合作!<br><br>了解更多请点击:<a href='http://webscan.360.cn'>360网站安全检测</a></div>";

        if (RawUrl())
        {
            HttpContext.Current.Response.Write(errmsg);
            HttpContext.Current.Response.End();
        }

        if (CookieData())
        {
            HttpContext.Current.Response.Write(errmsg);
            HttpContext.Current.Response.End();
        }

        if (HttpContext.Current.Request.UrlReferrer != null)
        {
            if (Referer())
            {
                HttpContext.Current.Response.Write(errmsg);
                HttpContext.Current.Response.End();
            }
        }

        if (HttpContext.Current.Request.RequestType.ToUpper() == "POST")
        {
            if (PostData())
            {
                HttpContext.Current.Response.Write(errmsg);
                HttpContext.Current.Response.End();
            }
        }
        if (HttpContext.Current.Request.RequestType.ToUpper() == "GET")
        {
            if (GetData())
            {
                HttpContext.Current.Response.Write(errmsg);
                HttpContext.Current.Response.End();
            }
        }
    }

    #endregion

    #region 安全检查正则

    /// <summary>
    /// 安全检查正则
    /// </summary>
    private const string StrRegex =
        @"<[^>]+?style=[\w]+?:expression\(|\b(alert|confirm|prompt)\b|^\+/v(8|9)|<[^>]*?=[^>]*?&#[^>]*?>|\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|/\*.+?\*/|<\s*script\b|<\s*img\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)";

    #endregion

    #region 检查Post数据

    /// <summary>
    /// 检查Post数据
    /// </summary>
    /// <returns></returns>
    private static bool PostData()
    {
        bool result = false;

        for (int i = 0; i < HttpContext.Current.Request.Form.Count; i++)
        {
            result = CheckData(HttpContext.Current.Request.Form[i]);
            if (result)
            {
                break;
            }
        }
        return result;
    }

    #endregion

    #region 检查Get数据

    /// <summary>
    /// 检查Get数据
    /// </summary>
    /// <returns></returns>
    private static bool GetData()
    {
        bool result = false;

        for (int i = 0; i < HttpContext.Current.Request.QueryString.Count; i++)
        {
            result = CheckData(HttpContext.Current.Request.QueryString[i]);
            if (result)
            {
                break;
            }
        }
        return result;
    }

    #endregion

    #region 检查Cookie数据

    /// <summary>
    /// 检查Cookie数据
    /// </summary>
    /// <returns></returns>
    private static bool CookieData()
    {
        bool result = false;
        for (int i = 0; i < HttpContext.Current.Request.Cookies.Count; i++)
        {
            result = CheckData(HttpContext.Current.Request.Cookies[i].Value.ToLower());
            if (result)
            {
                break;
            }
        }
        return result;
    }

    #endregion

    #region 检查Referer

    /// <summary>
    /// 检查Referer
    /// </summary>
    /// <returns></returns>
    private static bool Referer()
    {
        return CheckData(HttpContext.Current.Request.UrlReferrer.ToString());
    }

    #endregion

    #region 检查当前请求路径

    /// <summary>
    /// 检查当前请求路径
    /// </summary>
    /// <returns></returns>
    private static bool RawUrl()
    {
        return CheckData(HttpContext.Current.Request.RawUrl);
    }

    #endregion

    #region 正则匹配

    /// <summary>
    /// 正则匹配
    /// </summary>
    /// <param name="inputData"></param>
    /// <returns></returns>
    private static bool CheckData(string inputData)
    {
        return Regex.IsMatch(inputData, StrRegex);
    }

    #endregion
}

在Global.asax里调用的代码:

    private void Application_BeginRequest(object sender, EventArgs e)
    {
        Safe360.Procress();

    }



weixin_33958585
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
折腾了两天的跨站脚本提交问题,与IIS7有关
weixin_33716941的博客
08-20 153
根据这里提供的方法,本地测试通过没有问题,但是部署到服务器上之后,只有GET请求可以跨站提交,POST请求继续报错,折腾了两天之后觉得,是不是IIS7的问题?果然,找到了这篇文章,照做之后解决。 转载于:https://www.cnblogs.com/mobydick/p/3269934.html...
360 webscan中防注入跨站攻击的核心
萧刚
08-26 1087
//get拦截规则 $getfilter = "\\||\\b(alert\\(|confirm\\(|expression\\(|prompt\\(|benchmark\s*?\\(\d+?|sleep\s*?\\([\d\.]+?\\)|load_file\s*?\\()|]*?\\bon([a-z]{4,})\s*?=|^\\+\\/v(8|9)|\\b(and|or)\\b\\s*?([
AppScan扫描安全问题解决实录-跨站脚本编制
yaovirus的专栏
05-15 1757
问题分析 未对用户可控制的输入正确进行无害化处理,就将其放置到充当 Web 页面的输出中。这可被跨站脚本编制攻击利用。 白话解析:攻击者将脚本作为参数发送到被攻击的接口,然后接口直接返回语句到页面,那么页面就会执行攻击者的脚本攻击者可以利用脚本获取token、cookie等信息,进而下一步攻击。 解决方案一 Apache配置解决方案: 1开放module LoadModule security2_module modules/mod_security2.so 2添加如下配置 <If
xss
猿人奶爸的博客
07-18 200
using System.Text.RegularExpressions; using System.Web; using System.Web.Mvc; using DonvvTools.Log; namespace Test.Framework.Filters { /// <summary> /// 防止SXX攻击过滤器 /// </summ...
SQL注入跨站脚本
04-08
一篇有关SQL注入跨站脚本的文章,其中包含C#中的示例代码。
Web 应用程序中的跨站脚本 (XSS) 和 SQL 注入攻击检测-研究论文
06-09
现在每天都在生成新的 Web 应用程序工具,因此 Web 的安全性是最重要的。 从几年前开始,网络攻击不断增加,... 在工具的帮助下,我们可以发现漏洞的类型主要是SQL注入攻击跨站脚本攻击可能发生在Web应用程序中。
webProject:具有XSS,SQL注入和Croos站点请求伪造的跨站脚本
03-04
SQL注入和XSS跨站脚本。包含的文件sql_0.txt sql_1.txt
OWASP-security-scanner:自动化的安全扫描程序,用于使用python selenium-python自动化模块和漂亮的soup web scrapper模块在python 3.9.1中进行的sql注入跨站脚本编写
04-17
Web应用程序是攻击的主要基础,例如跨站脚本,cookie会话盗窃,浏览器攻击,Web电子邮件和网站中的自传播蠕虫。 这些类型的攻击称为“注入攻击”,即通过使用恶意代码进行攻击。 在过去十年的大部分时间里,注入...
Secure-Login-PHP:通过跨站脚本,SQL INJECTION和会话劫持进行安全的登录身份验证和注释防护
05-10
安全登录PHP 一个php项目,可提供对各种攻击的安全身份验证,例如xss,sql注入,会话劫持两个不同的注释,其中一个包含所有攻击,而其他安全注释则可对所有攻击提供身份验证。
跨站脚本编制
Angelo Lee's Blog
03-14 1835
跨站脚本编制”攻击是一种隐私违例,可让攻击者获取合法用户的凭证,并在与特定 Web 站点交互时假冒这位用户。 这个攻击立足于下列事实:Web 站点中所包含的脚本直接将用户在 HTML 页面中的输入(通常是参数值)返回,而不预先加以清理。 如果脚本在响应页面中返回由 JavaScript 代码组成的输入,浏览器便可以执行输入中的代码。 因此,有可能形成指向站点的若干链接,且其中一个参数是
使用过滤器解决SQL注入跨站脚本编制
weixin_34090643的博客
08-19 552
SQL注入、盲注 1.1 SQL注入、盲注概述 Web 应用程序通常在后端使用数据库,以与企业数据仓库交互。查询数据库事实上的标准语言是 SQL(各大数据库供应商都有自己的不同版本)。Web 应用程序通常会获取用户输入(取自 HTTP 请求),将它并入 SQL 查询中,然后发送到后端数据库。接着应用程序便处理查询结果,有时会向用户显示结果。 如果应用程序对用户(攻击者)的输入处理不够小心,...
.net 跨站脚本攻击(XSS)漏洞的解决方案
笨笨鸟吃柠檬的专栏
09-06 7737
1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。一般用来盗取浏览器cookie 2.跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,从而达到恶意攻击者的特殊目的。 危害...
asp.net mvc 过滤XSS跨站脚本攻击
冻死的企鹅
08-12 1092
asp.net mvc 过滤跨站脚本攻击拦截器 using System; using System.Collections.Generic; using System.Configuration; using System.Linq; using System.Text.RegularExpressions; using System.Web; namespace Org.Core.Commons { /// /// http访问拦截器模块 /// 1.过滤危险关键词 /// 2.增加安全Header
检查字符串中是否包含Sql注入关键字
qq_32109957的博客
12-29 1284
public class SqlInjectHelper { /// <summary> /// /// </summary> private static List<Regex> regices; /// <summary> /// /// </summary> static SqlInjectHelper() { regices = new List.
SQL 盲注、SQL 注入、跨站脚本编制可能解决方案
陶博客
07-07 6330
跨站       3.点脚本编制 详细信息 有多种减轻威胁的技巧: [1] 策略:库或框架 使用不允许此弱点出现的经过审核的库或框架,或提供更容易避免此弱点的构造。 可用于更轻松生成正确编码的输出的库和框架示例包括 Microsoft 的 Anti-XSS 库、OWASP ESAPI 编码模块和 Apache Wicket。 [2] 了解将在其中使用数据的上下文,以及预期的编码
跨站脚本编制描述及解决方法
热门推荐
xrdlqy的专栏
02-04 2万+
原文地址:http://www.ibm.com/developerworks/cn/security/s-csscript/#2   简介: 跨站脚本编制可能是一个危险的安全性问题,在设计安全的基于 Web 的应用程序时应该考虑这一点。本文中,Paul 描述了这种问题的本质、它是如何起作用的,并概述了一些推荐的修正策略。 当今的大多数网站都对 Web 页面添加了动态内容,从而使用户能获
.Net网站架构设计(七)网络安全
liming850628的专栏
03-21 1554
.Net网站架构(七)网络安全
跨站脚本攻击(XSS)与SQL注入攻击的异同
最新发布
06-13
跨站脚本攻击(XSS)和SQL注入攻击都是常见的Web攻击方式,它们的目的都是获取站点的敏感信息或者控制站点。它们的区别如下: 1. 攻击方式不同:XSS攻击是通过在网站中注入恶意脚本攻击用户,而SQL注入攻击则是通过利用Web应用程序对数据库的查询不足或者缺乏过滤等安全机制来攻击网站。 2. 攻击目标不同:XSS攻击的目标是用户,攻击者利用脚本获取用户的Cookie、密码等信息,或者利用脚本欺骗用户进行恶意操作。而SQL注入攻击的目标是网站攻击者通过注入SQL语句来获取网站的敏感信息或者控制网站。 3. 防御措施不同:XSS攻击的防御措施主要是对输入进行过滤和转义,使得输入内容不能被解释为脚本。而SQL注入攻击的防御措施主要是使用参数化查询和输入检查,避免SQL语句被注入。 总之,XSS攻击SQL注入攻击都是Web攻击中比较常见的攻击方式,网站开发者需要采取相应的防御措施来保护网站和用户的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值