加入收藏 | 设为首页 | 会员中心 | 我要投稿 应用网_常德站长网 (https://www.0736zz.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 站长学院 > Asp教程 > 正文

入侵网站学习_程序篇_输入参数漏洞(2)

发布时间:2020-12-25 08:38:00 所属栏目:Asp教程 来源:网络整理
导读:真没想到一个小小的输入参数的漏洞,居然可造成整个网站的不安全,甚至是破坏性的。 其实要解决这个问题也真是非常的简单,只要对输入的参数进行一下判断就可以了。如果是字符型参数,用checkstr(自写)将其中的'改换为'';如果是数值型,用isnumeric(系统自

真没想到一个小小的输入参数的漏洞,居然可造成整个网站的不安全,甚至是破坏性的。

其实要解决这个问题也真是非常的简单,只要对输入的参数进行一下判断就可以了。如果是字符型参数,用checkstr(自写)将其中的'改换为'';如果是数值型,用isnumeric(系统自带)来判断,返回True即为判断正确,不过有时会出错,所以我用isinteger(自写)来判断。只要对每个有输入参数的页面都进行一下判断,那么对于SQL注入这种黑客侵入方法来说,你的网站就是安全的。

51检查出来的那些页面,我分析了一下。1,为了节省时间,直接拿网上现成的程序来改,而此程序有些漏洞,所以...;2.自己写的页面,以前也有这些认识,但认识不深。有些页面加了判断,有些页面就没有,所以...

即然有了工具,就随便抄几个网站吧,声明:我可没用他来做坏事!没想到,几乎每三个网站就会有一个网站有此漏洞,短短10分钟,就抄出3个网站来了。而且其中是一个著名的大型网站,不过其密码用md5加密了,而且管理登陆页也找不到。

因此,总结了一些经验,也许对以后的网站开发有点儿作用。
1.每个带输入参数的页面,必须对输入参数进行判断。
2.密码用MD5加密,基本上来说,只要是6位以上,有大小写的密码,是不可能被解密的。如果是在6位以下的简单密码,用MD5暴力破解器可在很短的时间内破解出来。所以设密码一定要慎重,尤其是管理员密码,直接关系到网站的安全。
3.如果使用sqlserver做为网站数据库,不要用sa来连接。要新建一个用户来连接,防止SQL注入时通过xp_cmdshell等sqlserver内置的存储过程来创建服务器管理组的用户。
4.管理区目录不要和一般的页面程序放在一起,最好能取个他人猜不到的目录,或者进行IP判断(只允许你公司静态IP或者动态IP段访问)。

就这么多了,以后想到再补充。

(编辑:应用网_常德站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

    热点阅读