万能Asp防注入代码拒绝攻击和注入漏洞

1、万能Asp防注入代码-拒绝攻击,addcomment.asp Aspcms注入漏洞万能Asp防注入代码-拒绝攻击,addcomment.asp Aspcms注入漏洞 放入conn.asp中(/plug/comment/addcomment.asp)(拒绝攻击 万能Asp防注入代码)第一种： squery=lcase(Request.ServerVariables("QUERY_STRING")sURL=lcase(Request.ServerVariables("HTTP_HOST") SQL_injdata ="

2、:|;|>|<|-|sp_|xp_|/|dir|cmd|(|)|+|$|'|copy|format|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare" SQL_inj = split(SQL_Injdata,"|") For SQL_Data=0 To Ubound(SQL_inj)if instr(squery&sURL,Sql_Inj(Sql_DATA)>0 ThenResponse.Wri

3、te "SQL防注入系统"Response.endend ifnext  第二种：   SQL_injdata =":|;|>|<|-|sp_|xp_|/|dir|cmd|(|)|+|$|'|copy|format|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare" SQL_inj = split(SQL_Injdata,"|")If Re

4、quest.QueryString<>"" ThenFor Each SQL_Get In Request.QueryStringFor SQL_Data=0 To Ubound(SQL_inj)if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA)>0 ThenResponse.Write "SQL通用防注入系统"Response.endend ifnextNextEnd If If Request.Form<>"" ThenFor Ea

5、ch Sql_Post In Request.FormFor SQL_Data=0 To Ubound(SQL_inj)if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA)>0 ThenResponse.Write "SQL通用防注入系统"Response.endend ifnextnextend if 一般这种问题是网站有漏洞，系统漏洞或者SQL注入漏洞，或者上传文件漏洞，如何防止网页被修改加入脚本病毒? 爱牛网络将这个问题总结分享如下. 1、简单的补救措施：在服务器IIS中，把所有的ASP

6、，HTML文件的属性设置为Everyone只读（一般是IUSR_），只把数据库的权限设置成可写，注意：如果你没有服务器的管理权限，那么登录上的空间ftp，选中那些不需要写入的文件或文件夹，右键点击-属性：把其中的三组写入权限都取消，但如果你有ACCESS数据库，要把数据库设成可写，不然读数据时会出错。 2、先把恶意代码删掉（替换掉），然后把网站目录下的所有文件全部用杀软杀下 ,然后一个一个检查下是否存在后门. 3、在你的程序里写上以下防注入函数  on error resume next   '这行代码放到conn.asp的第一行。&#

7、160;'防止注入dim qs,errc,iiiqs=request.servervariables("query_string")'response.write(qs)dim deStr(18)deStr(0)="net user"deStr(1)="xp_cmdshell"deStr(2)="/add"deStr(3)="exec%20master.dbo.xp_cmdshell"deStr(4)="net localgroup administrators&quo

8、t;deStr(5)="select"deStr(6)="count"deStr(7)="asc"deStr(8)="char"deStr(9)="mid"deStr(10)="'"deStr(11)=":"deStr(12)=""""deStr(13)="insert"deStr(14)="delete"deStr(15)="drop"deStr(

9、16)="truncate"deStr(17)="from"deStr(18)="%"errc=falsefor iii= 0 to ubound(deStr)if instr(qs,deStr(iii)<>0 thenerrc=trueend ifnextif errc thenResponse.Write("对不起，非法URL地址请求!")response.endend if 4、在文件中<head></head>加入   <sc

10、ript language="JavaScript"><!- if (top.location != location) top.location.href = location.href;/-></script> = 以下为摘录= 网页防篡改 一，Stream开关可自由设置，ASP中的ADODB.Stream 对象用来操作二进制或文本数据的流。通常用于无组件上传和验证码等功能。关闭该组件可以提高网站安全。 Fso开关也可自由设置，FSO(FileSystemObject)是微软ASP的一个对文件操作的控件，该控件可以对服务器进行读取、新建、修改、删除目录以及文件的操作。关闭该组件有利于提高网站安全。 二，假设网站建好后，今后一段时间都不会再用到ftp上传功能，这时可以暂时关闭FTP上传，有助于提高网站的安全，即使ftp密码泄露，黑客也不能操作空间内的文件，设置后60秒后生效。 三，另外还可设置脚本权限与写入权限，如果网站只使用了asp，可设置为只