ASP防注入新方式,希望对大家是有用的。

最新推荐文章于 2024-08-11 16:01:20 发布
最新推荐文章于 2024-08-11 16:01:20 发布
阅读量671 收藏
点赞数
分类专栏: IIS7 文章标签: asp 数据库 microsoft 工具 sql 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zixian2005/article/details/3984042
版权

 最近我的网站经常把js脚本注入到数据,清除了又来。先后在网上找了很多的方法,还是没有用的,十分恼火。

首先先告诉大家一个批量清除代码的sql语句。

update 表名 set 字段=replace(字段,'script src=http://3b3.org/c.js></script','')

 

1、分析那些无聊的人,或者有些病态的人究竟做了些什么 。

通过iis的日志或者microsoft urlscan 日志查看,在一些通过id查询数据库内容的时候后面被人加了一段很长的字符窜。

%%3B%%44%%65%%43%%4C%%61%%52%%45%%类似这样的字符窜,一定是其他的方式编码

首先我们先用工具分析下如此之长的字符窜究竟包含了些什么内容。

 

通过批量替换工具把%%全部替换成空,然后把得到的字符串通过其他的转码工具,转成字符窜。

;DeCLaRE @S NvArCHaR(4000);SeT @S=CaSt(0x45这里代码去掉了06F007200 aS NvArChAR(4000));ExEc(@S);--

就是一段与通过id查询数据库同时执行的sql,就给数据库某些表的字段加入了js病毒连接。

 

2、所以我们的原来的防sql注入的字符串就需要升级了。

存储过程强制参数类型,数据长度 

然后自己测试下,程序是否拦击了这些16进制的代码,本人测试过是可以拦击的,如果不加入这些是不拦击的

照样可以注入到数据库。

zixian2005
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 012-网络安全应急技术与实践(Web层-SQL注入
时光隧道
02-09 6万+
Web层攻击分析与应急响应演练是指对Web应用程序进行攻击分析,发现潜在的漏洞和安全威胁,并在发生安全事件时能够迅速做出应急响应措施的过程。进行Web层攻击分析是为了了解Web应用程序存在的弱点和漏洞,从而提前对其进行修复和加固。攻击分析可以包括对Web应用程序进行安全扫描、漏洞评估和渗透测试等活动,通过模拟真实攻击场景,发现可能被黑客利用的漏洞,如SQL注入、跨站点脚本攻击(XSS)、跨站点请求伪造(CSRF)等。攻击分析的目的是为了及早发现和修复潜在的安全问题,确保Web应用程序的安全性。
SQL注入的五种方法
snow_love_xia的博客
04-01 7193
SQL注入一、SQL注入简介    SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击 三、SQL注入攻击实例比如在一个登录界面,要求输入用户名和密码:可...
ASP.NET 注入
weixin_30319153的博客
06-08 231
一、 输入验证1. 什么是输入 输入是编译时以外的全部数据交换。WEB应用程序从各种来源获取输入,例如所有用户发送的,或者应用程序运行的往返数据(用户提交的数据、视图状态、 cookie、查询字符串参数等),以及后台数据(数据库、配置数据和其他数据来源)。所有输入的数据都会在某种情况下影响请求的处理。[1]2. 输入验证的必要性为什么输入验证如此重要?第一个原因非常明显:用户都不希望使用虚假的数...
6年前的sql注入服务器安全配置文章,依然很有用
houzhyan-博客
12-02 876
【一、在服务器端配置】        安全,PHP代码编写是一方面,PHP的配置更是非常关键。 我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全。整个PHP中的安全设置主要是为了止phpshell和SQL Injection的攻击,一下我们慢慢探讨。
PHPSQL注入
S_ZaiJiangHu的博客
05-12 202
需要注意的 (7) 关闭PHP版本信息在http头中的泄漏 我们为了止黑客获取服务器中php版本的信息,可以关闭该信息斜路在http头中: expose_php = Off 比如黑客在 telnet www.12345.com 80 的时候,那么将无法看到PHP的信息。 (8) 关闭注册全局变量 在PHP中提交的变量,包括使用POST或者GET提交的变量,都将自动注册为全局变量,能够直接访问, 这是对服务器非常不安全的,所以我们不能让它注册为全局变量,就把注册全局变量选项关闭: register_glob
sql注入---入门到进阶
热门推荐
春日野穹
10-24 3万+
目录导航 sql注入的原理 sql注入的条件 sql注入的危害 sql注入的分类、验证及利用方式 sql数值型注入 sql注入的原理: 概述:针对SQL注入的攻击行为可描述为通过用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序时意料之外结果的攻击行为,其本质就是对于输入检查不充分,导致SQL语句将用户提交的非法数据当作语句的一部分来执行,sql注入产生的原理有以下几个方面 程序编...
url存在链接注入漏洞_检测到目标URL存在SQL注入漏洞
weixin_29458415的博客
01-13 2464
解决办法护建议包括部署分层安全措施(包括在接受用户输入时使用参数化的查询)、确保应用程序仅使用预期的数据、加固数据库服务器止不恰当的访问数据。建议使用以下措施SQL注入漏洞:对于开发========使用以下建议编写不受SQL注入***影响的web应用。参数化查询:SQL注入源于***者控制查询数据以修改查询逻辑,因此SQL注入***的最佳方式就是将查询的逻辑与其数据分隔,这可以止执行...
SQL注入-盲注-时间注入-报错注入-布尔盲注-DNSlog注入-宽字节注入-WAF绕过-SqlMap使用
VictorZhang
07-30 6036
Sqli-labs的安装 1.安装WAMP http://www.wampserver.com/ WAMP是php + mysql + Apache环境集成工具 2.下载Sqli-labs https://github.com/webattacker/sqli-labs 将Sqli-labs解压后整个目录拖拽到路劲:C:\wamp64\www 下 3.在浏览器上访问http://localhost...
web中各种命令注入的检测和利用二
煜铭2011
09-02 1万+
0x00 前言          我们都知道在web 中有着各种数据注入攻击,其中有SQL注入、命令注入、XML注入等等。在平时我们渗透测试的任务中,如何快速检测和利用这些注入的漏洞,以下是一些注入命令总结 0x01 SQL 注入 1 SQL注入的发现 1.1 通用的 SQL 注入攻击字符 查询中断语法    :           单引号(‘),      双引号(“) 注入SQL
JDBC详细使用
m0_73627305的博客
08-09 454
​ JDBC是一种标准,一种规则,主要作用是使用java语言操作数据库的​ JDBC这个标准中有很多的接口,接口中有很多方法。
seatunnel2.3.3在centos7上安装
鑫哥
08-09 818
安装前需要准备点环境,因为seatunnel是基于java开发的,因此需要先安装java,我这里使用的java1.8,可以网上搜索下java安装教程,记得配置JAVA_HOME环境变量。在安装的过程中需要用到mysql命令,因此也需要安装下MySQL环境,这里也不具体讲解了,在网上搜索安装就行。接下来就是正式安装seatunnel了,
SpringBoot依赖之Quartz Scheduler定时调度器使用MySQL存储Job
ahauedu的专栏
08-07 558
接上一篇。本篇将在 Spring Boot 项目中,使用 Quartz Scheduler 结合 MySQL 数据库来存储 Job。
Linux安全与高级应用(四)深入探索MySQL数据库:安装、管理与安全实践
洛秋的博客
08-07 1407
Linux:作为操作系统,提供稳定的运行环境。Apache:作为Web服务器,处理HTTP请求。MySQL:作为数据库管理系统,存储和管理数据。:作为脚本语言,生成动态网页。LAMP平台的优势在于其成本低廉、可定制性强、易于开发、方便易用且安全稳定。这使得LAMP成为许多企业和开发者的首选平台。通过以上步骤,我们完成了LAMP平台的部署及其主要组件的配置和测试。LAMP平台的搭建不仅为Web开发提供了一个强大的环境,同时也展现了其在成本和效率上的优势。
SQLite批量INSERT
相忘于江湖的专栏
08-08 423
SQLite数据库中进行大批量记录INSERT,有三种方法,三种方法的效率由高低,本文举例说明。
springboot民办高校科研项目管理系统-计算机毕业设计源码54009
最新发布
VX_DZbishe的博客
08-11 215
论文主要是对基于springboot的民办高校科研项目管理系统进行了介绍,包括研究的现状,还有涉及的开发背景,然后还对系统的设计目标进行了论述,还有系统的需求以及整个的设计方案,对系统的设计以及实现,也都论述的比较细致,最后对基于springboot的民办高校科研项目管理系统进行了一些具体测试。本次报告,首先分析了研究的背景、作用、意义,为研究工作的合理性打下了基础。
C++ SQL ORM
一个大佬的博客
08-07 514
【代码】C++ SQL ORM。
8.7-主从数据库的配置+mysql的增删改查
qq_70752758的博客
08-07 683
Slave_IO_Running和Slave_SQL_Running都是yes就表示主从数据库配置成功了。insert into 表名称 values(1,"name","word")先查看按照升序排列的qty,然后在这基础上在按照price的升序排列进行查看。当使用聚合查询以后,不能使用where,如果要使用,添加having。insert into 表名称 select * from 其他表。insert into 表 value () ,()创建可以远程登录的用户。查看升序排列的qty。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值