彻底解决asp注入漏洞的方法

最新推荐文章于 2023-07-20 14:53:12 发布
最新推荐文章于 2023-07-20 14:53:12 发布
阅读量1.8k 收藏
点赞数
分类专栏: WEB开发 文章标签: asp function sql server 数据库 sql class

 

本人最近研究彻底解决asp注入漏洞的方法!希望大家多提建议
原理,就是象java一样使用preparestatement.
下面例子连接的是sql server数据库
代码如下:
PrepareSql.asp
<%
' 定义数据库操作常量
 Const adStateClosed = 0
 Const adOpenForwardOnly = 0, adOpenKeyset = 1, adOpenDynamic = 2, adOpenStatic = 3
 Const adLockReadOnly = 1, adLockPessimistic = 2, adLockOptimistic = 3, adLockBatchOptimistic = 4
 Const adCmdText = 1, adCmdTable = 2, adCmdStoredProc = 4, adExecuteNoRecords = 128
 Const adBigInt = 20, adBoolean = 11, adChar = 129, adDate = 7, adInteger = 3, adSmallInt = 2, adTinyInt = 16, adVarChar = 200
 const adParamInput = 1, adParamOutput = 2, adParamInputOutput = 3, adParamReturnValue = 4
%>
<%Class PrepareSQL
 Private cmdPrep
 Private m_String
 Private m_Sql
 Private m_conn
 public function setconn(conn)
  set m_conn=conn
 end function
 Public Function prepare(sql)
  set cmdPrep=nothing
     SET cmdPrep=Server.CreateObject("ADODB.Command")
  set cmdPrep.ActiveConnection=m_conn
  cmdPrep.CommandText =sql
 End Function
 Public Function setInt(theValue ) 
  cmdPrep.Parameters.Append cmdPrep.CreateParameter("", adInteger, adParamInput,, theValue) 
 End Function
 Public Function setDate(theValue ) 
    cmdPrep.Parameters.Append cmdPrep.CreateParameter("", adVarChar, adParamInput, 100, theValue) 
 End Function
 Public Function setBoolean(theValue ) 
  cmdPrep.Parameters.Append cmdPrep.CreateParameter("", adBoolean, adParamInput, 1, theValue)  
 End Function 
 Public Function setString(theValue ) 
  if(len(theValue)=0 )then
  
  cmdPrep.Parameters.Append cmdPrep.CreateParameter("", adVarChar, adParamInput, 1, theValue)
  else
  cmdPrep.Parameters.Append cmdPrep.CreateParameter("", adVarChar, adParamInput, lenb(theValue), theValue)
  end if
 End Function
 Public Function execute()
  set execute=cmdPrep.Execute
 End Function
End Class%>


test.asp
<!--#include file="../include/datastore.asp"-->
<!--#include file="../include/PrepareSql.asp"-->
<%
Dim ps
Dim cn
set cn=server.CreateObject("adodb.connection")
Dim strcn
strCn="driver={SQL server};server=127.0.0.1;uid=sa;pwd=test;database=PUBS"
cn.Open strCn
set ps=new  PrepareSql 
ps.setconn cn
ps.prepare "select * from user where id =?"
ps.setint 1
dim rs
set rs=ps.execute
%> 

 

wfdmd
关注
专栏目录
asp注入漏洞测试环境
02-28
学习环境。主要是从通过注入拿到网站后台的用户名和密码
彻底解决asp注入漏洞不再任人宰割!绝对原创!
魏中华的专栏
07-21 2786
本人最近研究彻底解决asp注入漏洞方法!希望大家多提建议原理,就是象java一样使用preparestatement.下面例子连接的是sql server数据库代码如下:PrepareSql.asp 定义数据库操作常量 Const adStateClosed = 0 Const adOpenForwardOnly = 0, adOpenKeyset = 1, adOpenDynamic = 2
SQL注入天书 - ASP注入漏洞全接触
热门推荐
Ardor Leo's Blog
10-30 1万+
http://www.cnblogs.com/enif/archive/2004/08/11/32146.html(源址)SQL注入天书 - ASP注入漏洞全接触 作者:NB联盟-小竹 (QQ:48814)引  言随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候
ASP注入漏洞方法
图书馆技术工作
09-04 5386
                             ASP注入漏洞方法  在做安全配置前,我们先了解一下入侵者的攻击手法。现在很流行注入攻击,所谓注入攻击,就是利用提交特殊地址将ASP中引用的正常SQL语句和入侵者所需要的SQL语句一并执行,使入侵者达到入侵的目的。现在更是有一些脚本注入工具发布,使菜鸟也可以轻松完成对ASP注入攻击。那么我们先来了解一下这些工具是怎样注入的。首先,入
脚本入侵讲解-asp注入漏洞
叱诧冰子 ′
01-21 592
1:注入漏洞<br />------------<br />1.asp手工注入<br />第一步:<br />先把IE菜单=>工具=>Internet选项=>高级=>显示友好 HTTP 错误信息前面的勾去掉。<br />否则,不论服务器返回什么错误,IE都只显示为HTTP 500服务器错误,不能获得更多的提示信息。<br />http://www.hack92.com/hack92.asp?id=1<br />我们在这个地址后面加上单引号’ 然后and 1=1 正确 and 1=2 错误的话就说明存在注入
最新 彻底解决asp注入漏洞
05-13
### 彻底解决ASP注入漏洞:使用PrepareStatement方法 #### 一、背景介绍 在Web开发领域,SQL注入攻击是一种常见的安全威胁,它利用应用程序对用户输入数据处理不当的漏洞,将恶意SQL命令插入到查询语句中执行,从而...
磊子科技企业网站建站解决方案 - 基于ASP CMS系统
5. 安全性考虑:在开发ASP网站时,需要考虑防止常见的网络攻击如SQL注入、跨站脚本攻击(XSS)和跨站请求伪造(CSRF)等安全漏洞。 6. ASP技术特点:如支持多种脚本语言、与IIS服务器的紧密结合、使用ActiveX组件和...
ASP网站设计安全性管理.docx
最新发布
08-04
4. 程序设计与验证不全漏洞:验证码可以解决客户端交互问题,登陆验证是非常必要的,SQL 注入是最为常见的程序漏洞攻击方式。 解决方法 1. 验证码技术:可以解决客户端交互问题。 2. 登陆验证:对于很多网页,特别...
铁通无线固话销售系统ASP源码包发布
***:2002年发布,是ASP的彻底重写,采用了.NET框架,支持编译代码执行。 3. ASP源码特点 ASP源码通常包含了ASP页面、脚本、组件以及数据库访问脚本等。这些源码在执行时,需要依赖于安装有ASP解释器的Web服务器。...
ASP汽车配件企业网站源码开发实例
- 在部署前应进行彻底的测试,以避免潜在的安全漏洞。 - 考虑到用户隐私和数据保护,确保网站符合相关法律法规。 五、网站安全与维护 安全性是ASP网站开发中不可忽视的一个方面。开发者应采取以下措施保障网站的...
ASP存在的漏洞
weixin_58782362的博客
07-20 425
asp在当下其实存在的漏洞已经很少了。所以不算是重点,但可以作为了解。
ASP注入漏洞全接触
机器的自我探索之旅
01-07 1252
ASP注入漏洞全接触     ASP注入漏洞全接触 引 言 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些
防网站漏洞扫描asp代码,也就是防注入的通用代码
滴水石穿
11-09 2847
把下面的代码保存在公用文件里就可以防止注入扫描了,比方说conn.asp 里,根据多年开发的经验建议将网站后台和前台分离,后台一个conn.asp 前台一个conn.asp 前台conn.asp加如下代码 Dim flashack_Post,flashack_Get,flashack_In,flashack_Inf,flashack_Xh,flashack_db,flashack_dbstr
漏洞复现篇——任意代码命令执行漏洞复现及防御
爱国小白帽
02-27 4020
什么是代码执行: 当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能够控制这个字符串,将造成代码注入漏洞。 代码执行函数: 在php中:eval,assert,preg_replace(‘/*/e’, 'ret="1";′,ret = "\\1";',ret="1";′,data); 在asp中:eval, exevute,executeglobal 在jsp中:jsp中没有p...
(转载)ASP网站如何防止注入漏洞攻击
aocong5568的博客
04-29 161
  SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如 果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况。能不能根据具体情 况进行分析,构造巧妙的SQL语句,从而成功获取想要的数据。   据统计,网站用ASP+Access...
24、数据库ASP+ACCESS网站手工注入漏洞检测及防御实战
郭盛华的CSDN技术博客
10-15 630
主讲老师:郭盛华   MicrosoftOffice Access是由微软发布的关系数据库管理系统。Microsoft Access在很多地方得到广泛使用,例如小型企业,大公司的部门。   另外,在开发一些小型网站WEB应用程序时,用来存储数据。例如ASP+Access。这些应用程序都利用ASP技术在IIS服务器里运行。比较复杂的WEB应用程序则使用PHP+MySQL或者ASP+Micr...
asp 执行 exe_Web安全:命令执行漏洞
weixin_39767386的博客
11-24 369
命令执行是指攻击者通过浏览器或者其他客户端软件提交一些cmd命令(或者bash命令)至服务器程序,服务器程序通过system、eval及exec等函数直接或者间接地调用cmd.exe执行攻击者提交的命令。命令执行漏洞产生的原因是,开发人员在编写PHP代码时,没有对代码中可执行的特殊函数入口进行过滤,导致客户端可以提交一些cmd命令(或者bash命令),并交由服务器程序执行。服务器程序没有...
SQL注入漏洞原理,基本方法,绕过方法及防御
qq_62886656的博客
05-03 8518
目录 一,原理 二,如何注入? 1, 联合注入 2,基于错误的注入 3,布尔盲注 4,延时注入 三,绕过方法添加注释 四,防御方式 一,原理 SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 从过程上分析,在前端构造一份表单,可以是输入账号密码,也可以是其他能够输入并提交的功能,向后端传输数据的时候,如果我
ASP注入应用漏洞解决方法整理
weixin_34004576的博客
11-20 125
ASP注入应用漏洞解决方法整理 该文章转自 联信软件 1、ASP程序连接 SQL Server 的账号不要使用sa,或任何属于Sysadmin组的账号,尽量避免应用服务有过高的权限,应使用一个db_owner权限的一般用户来连接数据库。 2、WEB应用服务器与DB服务器分别使用不同的机器来存放,并且之间最好通过防火墙来进行逻辑隔...
深入解析ASP SQL注入漏洞
"SQL注入ASP注入漏洞全接触" SQL注入是一种常见的网络安全问题,它发生在应用程序未能充分验证用户输入时,允许攻击者向数据库发送恶意SQL命令。ASP(Active Server Pages)是一种微软开发的服务器端脚本语言,常...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值