加载中…
个人资料
老虎
老虎
  • 博客等级:
  • 博客积分:0
  • 博客访问:2,472
  • 关注人气:2
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
相关博文
推荐博文
谁看过这篇博文
加载中…
正文 字体大小:

注入点修复

(2011-11-16 23:56:09)
标签:

杂谈

http://www.xxxx.net/CompHonorBig.asp?id=xx下面我们找到我们注入漏洞的文件,在文件的顶部加上我们的防注入代码 CompHonorBig.asp这个文件里

----------------------------------代码如下------------------------------------------------
 <%

'Dim yisenceinje_Post,yisenceinje_Get,yisenceinje_In,yisenceinje_Inf,yisenceinje_Xh,yisenceinje_db,yisenceinje_dbstr

'您可以在yisenceinje_In中新增要过滤的参数,用#号隔开
yisenceinje_In = ''#;#and#exec#insert#select#delete#update#count#chr#mid#master#truncate#char#declare'
yisenceinje_Inf = split(yisenceinje_In,'#')

'判断post参数
If Request.Form<>'' Then StopInjection(Request.Form)
'判断get参数
If Request.QueryString<>'' Then StopInjection(Request.QueryString)
'判断cookies参数
If Request.Cookies<>'' Then StopInjection(Request.Cookies)


Function StopInjection(values)
For Each yisenceinje_Get In values
For yisenceinje_Xh=0 To Ubound(yisenceinje_Inf)
If Instr(LCase(values(yisenceinje_Get)),yisenceinje_Inf(yisenceinje_Xh))<>0 Then
Response.Write '<Script Language=JavaScript>alert('中搜科技提示你:\n\n请不要在参数中包含非法字符。');</Script>'
Response.Write '非法操作!系统已经记录下来你的当前操作:<br>'
Response.Write '操作IP:'&Request.ServerVariables('REMOTE_ADDR')&'<br>'
Response.Write '操作时间:'&Now&'<br>'
Response.Write '操作页面:'&Request.ServerVariables('URL')&'<br>'
Response.Write '提交数据:'&values(yisenceinje_Get)
Response.End
End If
Next
Next
End Function
%>
---------------------------------------代码如上-------------------------------------------------
 这个只是单个文件的防注入 多防注入的方法是:我们可以看一下代码 看他调用了那个文件 比如这个注入点的文件调用了INC文件夹下的CONN.ASP 那么我们直接把代码加在CONN.ASP的文件夹顶部就可以了,本防注入代码不是万能的,如发现影响文件调用请勿使用此代码。

0

阅读 评论 收藏 转载 喜欢 打印举报/Report
前一篇:不抛弃
  • 评论加载中,请稍候...
发评论

    发评论

    以上网友发言只代表其个人观点,不代表新浪网的观点或立场。

    < 前一篇不抛弃
      

    新浪BLOG意见反馈留言板 电话:4000520066 提示音后按1键(按当地市话标准计费) 欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    新浪公司 版权所有