首頁?>?知識?資訊?>?網站建設安全--防范遠程注入攻擊?>?正文

網站建設安全--防范遠程注入攻擊

2010/3/27 0:00:00 · 稿源:傳誠信
網站建設安全--防范遠程注入攻擊

  這類攻擊在以前應該是比較常見的攻擊方式,比如POST攻擊,攻擊者可以隨便的改變要提交的數據值已達到攻擊目的.又如:COOKIES 的偽造,這一點更值得引起程序編寫者或站長的注意,不要使用COOKIES來做為用戶驗證的方式,否則你和把鑰匙留給賊是同一個道理.

  比如:

以下是引用片段:
  If trim(Request. cookies ("uname"))="fqy" and Request.cookies("upwd") ="fqy#e3i5.com" then?
……..more………?
End if?


  我想各位站長或者是喜好寫程序的朋友千萬別出這類錯誤,真的是不可饒恕.偽造COOKIES 都多少年了,你還用這樣的就不能怪別人跑你的密碼.涉及到用戶密碼或者是用戶登陸時,你最好使用session 它才是最安全的.如果要使用COOKIES就在你的COOKIES上多加一個信息,SessionID,它的隨機值是64位的,要猜解它,不可能.例:

以下是引用片段:
  if not (rs.BOF or rs.eof) then?
login="true"?
Session("username"&sessionID) = Username?
Session("password"& sessionID) = Password?
'Response.cookies("username")= Username?
'Response.cookies("Password")= Password?


  
下面我們來談談如何防范遠程注入攻擊,一般的攻擊都是將單表提交文件拖到本地,將Form ACTION="chk.asp" 指向你服務器中處理數據的文件即可.如果你全部的數據過濾都在單表頁上,那么恭喜你,你將已經被腳本攻擊了.

  怎么才能制止這樣的遠程攻擊?好辦,請看代碼如下: 程序體(9)

  
以下是引用片段:
<%?
server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))?
server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))?
if mid(server_v1,8,len(server_v2))<>server_v2 then?
response.write "

"?
response.write " "?
response.write "你提交的路徑有誤,禁止從站點外部提交數據請不要亂改參數!"?
response.write ""?
response.end?
end if?
%>?


  '個人感覺上面的代碼過濾不是很好,有一些外部提交竟然還能堂堂正正的進來,于是再寫一個.

  '這個是過濾效果很好,建議使用.

  
if instr(request.servervariables("http_referer"),"http://"&request.servervariables("host") )<1 then response.write "處理 URL 時服務器上出錯。

  如果您是在用任何手段攻擊服務器,那你應該慶幸,你的所有操作已經被服務器記錄,我們會第一時間通知公安局與國家安全部門來調查你的IP. "

  
以下是引用片段:
response.end?
end if?

  • 網站建設安全--數據庫下載漏洞
  • 網站建設安全--特殊字符
  • 網站建設安全--自動備份被下載
  • 網站建設安全之inc文件泄露問題
  • 網站建設安全之驗證被繞過

    • ?

    選擇北京網站建設公司-傳誠信,優(yōu)質服務,絕對不容錯過 !
    1. 優(yōu)秀的網絡資源,穩(wěn)定的網站和速度保證?
    配送雙線獨立ip空間,國際A級BGP機房,99.5% 的主機在線時間)?
    2. 7年北京網站建設經驗,優(yōu)秀的技術和設計水平,更放心?
    3. 全程省心服務,不必擔心自己不懂網絡,更省心。?

    -----------------------------------------------------------------------------------------------------
    我們的與眾不同之處:

    ??? 免費網絡營銷顧問:我們?yōu)槟峁┟赓M的網絡營銷顧問服務,您需要了解關于如何開展網絡營銷,電子商務,網站設計等的事宜,歡迎隨時聯(lián)系我們。

    ??? seo友好的網站管理系統(tǒng):除了優(yōu)質的網站空間,網站管理系統(tǒng),和網站設計外,我們的網站管理系統(tǒng)更是seo友好的,包括:自定義欄目名,Google Sitemap自動生成,靜態(tài)頁面生成等等,讓您的網站。

    ???? 免費網絡營銷培訓:如何更好的投放網絡廣告,如何提高網絡廣告的投資回報,如何發(fā)帖子,
    ??? ?如何優(yōu)化網站,我們有豐富的經驗開放給您!祝君成功!

    聯(lián)系我們:010-62199213 62122723-808 賈先生
    北京網站建設公司-傳誠信網站:m.jzztb.org.cn?點擊查看經典網站案例!

    北京傳誠信網站建設2010年建站套餐及優(yōu)惠!點擊查看!

    • 相關推薦
    • 大家在看
    關鍵詞:
    客戶服務
    咨詢熱線

    010-62199213

    24小時咨詢熱線

    139-1050-5354