ASP.NET SQL 注入解决方案

最新推荐文章于 2020-04-11 10:54:38 发布
最新推荐文章于 2020-04-11 10:54:38 发布
阅读量636 收藏
点赞数
分类专栏: .NET知识 文章标签: asp.net sql iis windows wildcard 数据库

image 任何一种使用数据库web程序(当然,也包括桌面程序)都有被SQL注入的风险。防止被SQL注入,最基本的方法是在代码级别就要阻止这种可能,这个网上讲的很多,我就不多说了。不过如果你拿到的是一个已经完工的产品,这个时候该如何解决呢?我介绍几种对于ASP和ASP.NET有效的防止SQL注入的方案,而且是免费的。

UrlScan 3.1

UrlScan 3.1是一个安全方面的工具,微软官方的东西。它会检查所有IIS处理的HTTP请求。UrlScan 可以在有安全问题的HTTP请求到达应用程序之前就阻止这个请求。UrlScan 3.1 是UrlScan 2.5的一个升级版本,支持Windows Vista 和Windows Server 2008系统之上的IIS 5.1, IIS 6.0 和 IIS 7.0。

链接地址:http://www.iis.net/expand/UrlScan 这里还有很多非常有用的IIS扩展,可以看看。

IIS 6 SQL Injection Sanitation ISAPI Wildcard

这个ISAPI dll 也是通过检查HTTP请求避免SQL注入。只兼容windows 2003上的 IIS 6.0。对于Windows XP 上的 IIS 5 不支持。

这是一个开源项目:http://www.codeplex.com/IIS6SQLInjection

 

 

转自:http://www.cnblogs.com/DotNetNuke/archive/2009/12/30/1635758.html

zxmcl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASP.NET SQL 注入免费解决方案
学习的约束力,提醒自己
02-09 913
 UrlScan的3.1是一个安全的工具,限制了IIS的HTTP请求将处理类型。 <span onmouseover="function onmouseover(){function onmouseover(){_tipon(this)}}" onmouseout="function onmouseout(){function onmouseout(){_t
IIS安全工具UrlScan介绍 ASP.NET 两种超强SQL 注入免费解决方案( 基于IIS,使用免费工具) 批改或隐藏IIS7.5的Server头信息 移除X-Powered-By,MVC,A...
weixin_30279751的博客
04-25 429
微软给了我们一个很好的工具用来使IIS安全的运行-------UrlScan,下面是它的配置文件介绍 [options]UseAllowVerbs=1 ; 若为1,则使用[AllowVerbs]部分定义的方法,否则使用[DenyVerbs]部分定义的方法UseAllowExtensions=0 ; 若为1,则使用[AllowExtensions]...
asp.net简单防范sql注入漏洞
10-24
asp.net简单防范sql注入漏洞 防止 sql注入攻击 1 限制 文本框的最大长度 2 删除用户的单引号 3 处理sql注入的另外一个方法是 使用ado.net command对象的参数集合。 而不是评接多个字符串
.net防止SQL注入的方法
weixin_30421809的博客
05-28 73
最近sql注入数据库被更改泛滥,我的好多NET+SQL的系统都出现了注入问题,郁闷了好几天,目前被注入最流行的JS代码,库表里补追加了N多如:"</title><script src=http://XXXXXXX/107/1.js> </script> <”的字段,导致WEB页面无法正常使用,在网上找了不少的防注入过滤敏感语句代码,这个觉得方便点,仅供参参...
ASP.Net C# SQL注入 跨脚步漏洞 案例
07-31
学习代码 ASP.Net C# SQL注入 跨脚步漏洞 案例
.Net下一招搞定SQL注入攻击
小小冰的专栏
05-29 860
在Global.asax中加入以下语句就可以了 void Application_BeginRequest(Object sender, EventArgs e)    {        StartProcessRequest();    }          #region SQL注入式攻击代码分析     ///      /// 处理用户提交的请求     ///     
Asp.Net通用Sql注入源码
06-06
"Asp.Net通用Sql注入源码"是针对这个问题提供的一种解决方案,旨在帮助Asp.Net程序员更好地保护他们的应用程序免受SQL注入攻击。 SQL注入攻击通常发生在应用程序没有正确验证或清理用户输入时。例如,当用户在...
asp.net+sql店内点餐系统
最新发布
06-16
本项目“asp.net+sql店内点餐系统”正是利用了这两者的优势,为餐饮行业提供了一套完善的在线点餐解决方案。下面将详细阐述该项目中的关键知识点。 一、ASP.NET基础 ASP.NET是Microsoft公司推出的一种Web应用程序...
ASP.NET Zero Core 11.1.0 SQL Server
06-02
ASP.NET Zero Core 11.1.0 SQL Server是一个基于ABP框架的高效开发平台,专为构建企业级Web应用程序而设计。这个版本是针对ASP.NET Core 11.1.0的,集成了SQL Server数据库支持,为开发者提供了一个稳定、安全且可...
URLScan使用详细教程,。详细
04-27
URLScan 的所有配置都是通过 URLScan.ini 文件执行的,此文件位于 %WINDIR%\System32\Inetsrv\URLscan 文件夹中。要配置 URLScan,请在文本编辑器(如记事本)中打开此文件,进行相应的更改,然后保存此文件。
urlscan_v31_x86.msi
01-08
国内网站被挂马的常见原因是SQL注入攻击。那么,除了在Web开发的时候注意以外,有什么有效的工具可以对抗SQL注入攻击? 今天,微软和惠普的安全部门合作发布了三个工具,分别是: 微软SQL注入攻击源码扫描器:Microsoft Source Code Analyzer for SQL Injection (MSCASI)。这个工具给网站开发人员使用。是一个静态扫描ASP代码的工具,可以查找发现第一类和第二类的SQL注入攻击漏洞。工具下载地址: http://support.microsoft.com/kb/954476 惠普的 Scrawlr工具。这个工具可以被网站的维护人员使用,是一个黑箱扫描工具,不需要源代码。指定起始URL开始扫描。缺点是不能准确定位代码的漏洞(因为是黑箱测试)。工具下载地址: http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2008/06/23/finding-sql-injection-with-scrawlr.aspx 微软的URLScan 3.0 Beta。这个工具可以被网站的维护人员使用。它是一个输入过滤工具。如果你发现网站被SQL注入工具,你可以在一边修补代码漏洞的同时,使用这个攻击在过滤掉恶意的输入。当然,修补代码中的漏洞是完全避免SQL注入攻击的真正解决方案。工具下载地址: http://blogs.iis.net/wadeh/archive/2008/06/05/urlscan-v3-0-beta-release.aspx SWI的博客上有更进一步的描述。http://blogs.technet.com/swi/archive/2008/06/24/new-tools-to-block-and-eradicate-sql-injection.aspx 那么,这三个工具是如何配合使用的?下面给出一个例子。 步骤一:网站的维护人员使用Scrawlr扫描网站,检查是否存在SQL注入漏洞 步骤二:发现存在漏洞后,通知开发人员。开发人员使用MSCASI对ASP源码静态扫描来确定代码中什么地方导致的SQL注入攻击漏洞。 步骤三:在开发人员修补漏洞的同时,维护人员可以使用URLScan来过滤可能的恶意输入,以确保网站的安全。 这三个工具的配合使用可以很大程度上减少网站被挂马的可能。说实话,现在被挂马的网站实在是太多了! 以上三个工具均可以在我上传的资源中找到!! 微软下载页面有时还真难下下来!!
防止sql注入url过滤
12-30
防止sql注入url过滤器,这个平时用到过得、觉得不错、所以跟大家分享下、
基于ASP.NET的SQL注入攻击及防范解决方案.pdf
09-19
基于ASP.NET的SQL注入攻击及防范解决方案.pdf
asp.net core6 MVC+SqlServer例子
01-12
ASP.NET Core 6 MVC + SQLServer 示例项目是一个现代Web应用程序开发框架的应用实例,适用于使用C#编程语言构建基于Web的应用程序。在这个项目中,我们将会深入探讨ASP.NET Core 6 MVC框架与SQL Server数据库的集成...
安全攻防六:SQL注入,明明设置了强密码,为什么还会被别人登录
运维大湿兄的博客
04-11 1329
在正文之前,让我们先来看一个案例。某天,当你在查看应用的管理后台时,发现有很多异常的操作。接着,你很快反应过来了,这应该是黑客成功登录了管理员账户。于是,你立刻找到管理员,责问他是不是设置了弱密码。管理员很无辜地表示,自己的密码非常复杂,不可能泄漏,但是为了安全起见,他还是立即修改了当前的密码。奇怪的是,第二天,黑客还是能够继续登录管理员账号。问题来了,黑客究竟是怎么做到的呢?你觉得这里面的问题究...
PL/SQL简单使用——导入、导出数据表
热门推荐
随风半水
05-18 4万+
使用PL/SQL导出、导入表在使用PL/SQL操作oracle数据库时,经常使用的一个操作就是将自己写的数据表导出,或者想把他人的数据表导入到自己的数据库中。虽然是很简单的操作,但自己之前一直出错,所以在这里记录一下使用方法。
sql注入详解1
Smile李先生
09-06 2736
sql注入   所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。[1]  比如先前的很多影视网站泄露V
利用URLScan工具过滤URL中的特殊字符(仅针对IIS6)
godlessmerar的专栏
09-21 4850
客户公司搞安全检查,扫描出来我们之前做的系统有一个高危漏洞:IIS tilde directory enumeration,也就是利用“~”字符猜解暴露短文件/文件夹名,比如,采用这种方式构造URL:http://aaa.com/abc~1/.aspx,根据IIS返回的错误信息,猜测该路径或文件是否存在,具体可参考这篇文章:http://www.freebuf.com/articles/4908.
ASP.NET世界:利用SQL Server 2000构建安全数据存储
这涉及到用户认证、授权、数据加密和防止SQL注入攻击等方面,确保解决方案在实际部署中的稳定性和安全性。 4. **创建ASP.NET测试页**:为了验证数据存储层的功能,学习者会被指导如何创建测试页面,通过实际操作来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值