ASP防注入的办法
来源:
互联网
日期:2011-9-11
|
| |
|
|
| |
我们针对各种网店的需求,提供具有专业针对性的智能网店。集易用性和强大功能为一体,支持静态HTML生成和搜索优化、个性化模版定制、强大的网店管理系统和各种专业网店功能...点此申请
|
|
| |
|
|
| |
智能建站已经成为企业网站建设的主要方式,建立个性化企业网站是企业品牌形象的体现;具有强大灵活的网站功能、HTML生成、搜索引擎优化,现有简体、繁体、英文、日文等多国语言可选用。赶快申请,立即拥有个性化企业网站... |
|
| |
|
|
| |
三语易站是国内受众最广泛的傻瓜式自助建站系统。只要会打字就可以建站,支持简繁英三语,简繁自动转换;具有单页、文章、图文、下载等网站内容管理功能,自定义栏目内容设置,管理系统简单易用,适合企业个人自助创建和管理网站...点此申请
|
|
|
|
|
问题是,.用阿D注入工具能扫描出可以注入的页面.
比如: 可注入页面:
index.asp?id=1
news.asp?id=7
这样的页面
请问用什么代码可以扫描不出来呢?
解决方案:
如果获取的是id的话防注入可以这样操作
<%id=request("id")
if id<>"" then
if not isnumeric(id) then
response.write "参数错误!"
respone.end
else
id=int(id)
end if
else
response.write "参数不能为空!"
response.end
end if
%>
如果是字符的话可以采用如下代码:
<%
dim qs,errc,iii
qs=request.servervariables("query_string")
dim nothis(18)
nothis(0)="net user"
nothis(1)="xp_cmdshell"
nothis(2)="/add"
nothis(3)="exec%20master.dbo.xp_cmdshell"
nothis(4)="net localgroup administrators"
nothis(5)="select"
nothis(6)="count"
nothis(7)="asc"
nothis(8)="char"
nothis(9)="mid"
nothis(10)="'"
nothis(11)=":"
nothis(12)=""""
nothis(13)="insert"
nothis(14)="delete"
nothis(15)="drop"
nothis(16)="truncate"
nothis(17)="from"
nothis(18)="and user>0"
errc=false
for iii= 0 to ubound(nothis)
if instr(qs,nothis(iii))<>0 then
errc=true
end if
next
if errc then
response.write("对不起,非法URL地址请求!!")
response.end
end if
%>
建议两个一起用
精品网站程序下载(草根站长最爱)
QQ2013,QQ2012临时会话插件(全国首发)
711旅游网站管理系统V2013(无功能限制)
711幻灯片管理系统(全国首发) 各类网站程序下载
711企业网站管理系统V2013个人版(无功能限制)
711免费在线客服系统个人版 V2.0
电影小偷采集程序V2013免费下载 点此查看
更多的ASP防注入的办法请到论坛查看: http://BBS.TC711.COM
【 双击滚屏 】 【 评论 】 【 收藏 】 【 打印 】 【 关闭 】
来源:
互联网
日期:2011-9-11
|
|
|
设为首页 | 
加入收藏
