Linux防OS注入过滤特殊字符,过滤网址和输入框中的特殊字符,防止sql注入

最新推荐文章于 2023-03-22 00:23:48 发布
最新推荐文章于 2023-03-22 00:23:48 发布
阅读量121 收藏
点赞数
文章标签: Linux防OS注入过滤特殊字符
该博客文章介绍了一个ASP.NET IHttpModule实现,用于检查请求参数中是否存在潜在的SQL注入攻击字符串。通过检查请求的QueryStrings和Form变量,并对比配置文件中的过滤字符串列表,来阻止含有特定关键字的请求,从而增强应用程序的安全性。当检测到可能的SQL注入尝试时,系统会返回错误消息并终止响应。
摘要由CSDN通过智能技术生成

using System;

using System.Data;

using System.Configuration;

using System.Web;

using System.Web.Security;

using System.Web.UI;

using System.Web.UI.HtmlControls;

using System.Web.UI.WebControls;

using System.Web.UI.WebControls.WebParts;

/// 

///cedar 的摘要说明

/// 

public class cedar:IHttpModule

{

public cedar()

{

//

//TODO: 在此处添加构造函数逻辑

//

}

public void Dispose()

{

}

public void Init(HttpApplication application)

{

application.AcquireRequestState += new EventHandler(application_AcquireRequestState);

}

private void application_AcquireRequestState(object sender, EventArgs e)

{

HttpContext content = ((HttpApplication)sender).Context;

try

{

string sqlErrorPage = "default.html";//转到默认页面

string keyValue = string.Empty;

string requestUrl = content.Request.Path.ToString();

if (content.Request.QueryString != null)

{

foreach (string val in content.Request.QueryString)

{

keyValue= content.Server.UrlDecode(content.Request.QueryString[val]);

if (!processSqlStr(keyValue))

{

content.Response.Write("您访问的页面发生错误,此问题我们已经记录并尽快改善,请稍后再试。转到首页");

content.Response.End();

break;

}

}

}

if (content.Request.Form != null)

{

foreach(string val in content.Request.Form)

{

keyValue = content.Server.HtmlDecode(content.Request.Form[val]);

if (keyValue == "_ViEWSTATE") continue;

if (!processSqlStr(keyValue))

{

content.Response.Write("您访问的页面发生错误,此问题我们已经记录并尽快改善,请稍后再试。");

content.Response.End();

break;

}

}

}

}

catch (Exception ex)

{

}

}

private bool processSqlStr(string str)

{

bool returnValue = true;

try

{

if (str.Trim() != "")

{

//取得webconfig中过滤字符串

string sqlStr = ConfigurationManager.AppSettings["FilterSql"].Trim();

//string sqlStr = "declare |exec|varchar |cursor |begin |open |drop |creat |select |truncate";

string[] sqlStrs = sqlStr.Split('|');

foreach (string ss in sqlStrs)

{

if (str.ToLower().IndexOf(ss) >= 0)

{

sqlStr = ss;

returnValue = false;

break;

}

}

}

}

catch

{

returnValue = false;

}

return returnValue;

}

}

在web.config中添加以下:

weixin_39638086
关注
nosurfin:Linux网站拦截器能够拦截特定的URL
04-07
NoSurfin:恢复您的生产力! 阻止分散注意力的网站并收回您的生产力! NoSurfin是Linux的个人网站阻止程序,能够阻止特定的URL,而不仅仅是网站主机。 只需将您要阻止的URL添加到阻止列表设置时间段并激活该阻止即可; 在计时器结束之前,这些网站将被阻止。 非常适合当您想停止浏览网页并完成一些工作时! 背景 互联网上有如此多的干扰因素,许多网站被。 我发现自己在网络上浪费了太多时间,这常常会影响我的工作效率。 现有的大多数解决此问题的解决方案都不支持Linux,而解决方案要么不足,要么没有得到积极开发。 创建NoSurfin是为了填补这一空白。 怎么运行的 设置为本地透明代理,计算机上的所有HTTP流量都将通过该代理进行过滤。 用于Mitmproxy的NoSurfin插件会阻止所有匹配URL的HTTP请求。 出于以下两个主要原因,对主机文件阻止使用此方法: 传统的阻止
【web-攻击后端组件】(7.1)注入操作系统命令:Perl、ASP、动态执行、OS命令注入
08-20 569
注入操作系统命令】Perl、ASP、动态执行、OS命令注入
Windows cmd(dos)小命令
127.0.0.1的博客
04-19 1032
一、使用windows cmd(dos)实现电脑自动关机/重启 shutdown -s -t 0 /*该命令行的意思是0秒后关机。 这里的0和-s可以根据自己的情况改动。 -s可以改为-r意为重启。 0可以改为其他数字,意为多少秒后重启或关机。*/ shutdown -a /*这个条命令是取消上面的命令的。*/ 二、使用windows cmd(dos)进行网络质量简单检测 ping www.b...
Web安全--OS命令注入
m0_37786014的博客
03-07 557
1. 原理和成因 程序员使用脚本语言开发过程,脚本语言开发十分快速、简洁,但是也伴随着一些问题。比如说速度慢,或者无法接触系统底层,如果我们开发的应用,特别是企业级的一些应用需要去调用一些外部程序,当应用需要调用一些外部程序时就会用到一些系统命令的函数。 应用在调用这些函数执行系统命令的时候,如果将用户的输入作为系统命令的参数拼接到命令行,在没有过滤用户的输入的情况下,就会造成命令执行漏洞。 ...
CTFHub 命令注入-过滤运算符
qq_56096156的博客
03-22 204
1.因为运算符被过滤掉了,我们先用分号测试一下命令是否执行;2.接下来我们用cat命令查看flag文件。发现可以执行,并且找到了flag文件。然后右键查看网页源代码。
jquery过滤特殊字符',sql注入的实现方法
10-21
在本文,我们将探讨如何使用jQuery来过滤特殊字符,从而防止SQL注入攻击。SQL注入是一种常见的安全漏洞,攻击者可以通过输入恶意的SQL语句来操纵数据库。为了保护应用程序免受此类攻击,我们需要确保用户输入的...
jquery过滤特殊字符’,sql注入的实现方法
11-22
在本文,我们将深入探讨如何使用jQuery来过滤特殊字符,以防止SQL注入攻击。SQL注入是一种常见的网络安全威胁,攻击者通过输入恶意的SQL语句来操纵数据库,获取、修改或删除敏感数据。以下是一个实际的jQuery实现...
JS代码防止SQL注入的方法(超简单)
10-22
首先,URL地址注入的方法是通过过滤URL的非法SQL字符。这涉及到正则表达式的使用,正则表达式能够匹配字符串的特定模式。具体做法是将URL参数值转换为小写,并通过正则表达式匹配是否存在SQL语句常见的...
php防止sql注入简单分析
10-24
该函数会对字符串特殊字符进行转义,这些特殊字符包括单引号(')、双引号(")、反斜杠(\)、NUL字符以及控制字符(如换行符和回车符)。通过将mysql_real_escape_string函数应用于所有用户输入,可以在很大程度上...
input 禁止输入特殊字符的四种实现方式
09-01
特别是防止用户输入特殊字符,可以有效避免安全漏洞,如SQL注入等攻击。本文将详细探讨在HTML的input控件禁止输入特殊字符的四种实现方式。 1. 字符串替换法(方式一): 这是最直接的一种方法,它通过创建一个...
OS苹果Win7主题
03-28
不要羡慕苹果电脑了,用过的人才知道那有多麻烦。
centos8文输入法无法输入双引号等符号问题
weixin_40610952的博客
12-04 1186
1、问题原因 centos8支持的输入法为ibus的智能拼音
linux 屏蔽url,nginx屏蔽指定接口(URL)的操作方式
weixin_29201859的博客
05-25 2142
nginx屏蔽指定接口(URL)的操作方式一、前言有时候,web平台上线后,需要屏蔽某个服务接口,但又不想重新上线,可以采用nginx屏蔽指定平台接口的办法。二、具体操作在nginx的配置文件nginx.conf文件的server节点,添加一个location,示例如下:location /your url {return 403;}这里具体以nginx自带nginx.conf为例,屏蔽根URL...
过滤网址输入框特殊字符防止sql注入(C#版)
Jaylon Wang的专栏
09-18 4618
sql注入不必在每个页面都写验证了,下面方面便可以一劳永逸。     [c-sharp] view plaincopy using System;   using System.Data;   using System.Configuration;   using System.Web;   using System.Web.Sec
LinuxOS注入过滤特殊字符,没有过滤特殊字符导致的shell命令注入
weixin_42214418的博客
05-12 601
Demo在某个系统的上传文件功能,由于前端和后端都没有校验文件名称的特殊符号,并且Linux进程使用了该文件名称作为参数,最终导致了命令注入。Demo如下。漏洞发现过程对系统的文件上传功能测试时,发现一个奇怪的现象。一个文件内容符合要求的文件上传失败,提示错误信息:文件内容肯定没有问题,难道是文件名称不符合规则吗?测试时使用的文件名称为”b(a).bin“。难道是因为特殊字符的问题吗?于是,修改...
防止命令注入
wuxing164的博客
04-24 4956
shell_exec 或是 exec 函数 可以使用escapeshellarg函数来转义 Shell 参数。,转义用户的输入并将其封装成单引号。 如: $targetIp = escapeshellarg($_GET['ip']); $output = shell_exec("ping -c 5 $targetIp"); ...
注入进阶之OS命令行注入
热门推荐
JBlock的博客
10-12 1万+
1.os命令注入介绍    OS指令执行是为了通过网络接口在web服务器执行OS命令的一种技术。如果应用程序使用外部输入的字符串或受外部影响的字符串组装命令,并且没有经过正确的过滤,就可能导致OS命令的注入攻击。 2.类型 第一种类型是,应用程序执行一个自己控制的固定程序,通过用户输入的参数来执行命令。这时,可以通过参数的分隔符,在参数注入命令,来执行攻击者想要运行的命令。 第二种类型是
过滤网址输入框特殊字符防止sql注入
weixin_33909059的博客
06-08 611
usingSystem; usingSystem.Data; usingSystem.Configuration; usingSystem.Web; usingSystem.Web.Security; usingSystem.Web.UI; usingSystem.Web.UI.HtmlControls; usingSystem.Web...
SQL注入的原理和条件 如何护SQL恶意注入
最新发布
05-10
SQL注入是一种攻击方式,黑客可以通过在应用程序的输入框输入特定的SQL语句,以获取敏感信息或者破坏数据库的完整性。SQL注入攻击通常发生在Web应用程序,而Web应用程序的用户输入是最常见的注入点。 SQL注入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值